Politique de
Protection des Données

1. Introduction

Constellium est un leader mondial des produits et solutions en aluminium innovants et à forte valeur ajoutée, dédiés principalement aux marchés de l’aérospace, de l’automobile et de l’emballage.

Plusieurs entités Constellium sont basées dans l’Union européenne. 

Constellium s’engage tout particulièrement à exercer ses activités dans le respect de la vie privée et de la protection des Données à caractère personnel de tout un chacun, qu’il s’agisse de ses propres employés ou de personnes extérieures telles que des clients, des consommateurs, des partenaires, des candidats à un poste, des fournisseurs etc.

La présente Politique de protection des données (la « Politique ») a pour objectif de vous informer des engagements pris par Constellium pour s’assurer que vos Données à caractère personnel sont respectées, conformément aux lois pertinentes applicables.

La présente Politique peut être amenée à évoluer en fonction du contexte juridique et réglementaire et de la doctrine des autorités de surveillance.

2. Définitions

« Responsable du traitement » : entité juridique Constellium qui détermine les finalités et les moyens du traitement des Données à caractère personnel.

« Personne concernée » : toute personne physique, y compris vous, dont les Données à caractère personnel sont traitées.

« Données à caractère personnel » : toutes les informations sur une personne physique identifiée ou identifiable. Une personne est réputée identifiable dès lors qu’elle peut être identifiée directement ou indirectement, par exemple, en se référant à un numéro IP, à un numéro d’identité ou à au moins un facteur propre à son identité sociale, culturelle, physique ou économique.

« Traitement » : toute opération ou tout ensemble d’opérations qui est (sont) réalisée(s) sur les Données à caractère personnel, par un moyen automatisé ou non, telle(s) que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou la mise à disposition d’une autre manière, l’uniformisation ou la combinaison, la restriction, l’effacement ou la destruction.

« Sous-traitant » : personne physique ou morale qui traite les Données à caractère personnel au nom de l’entité juridique Constellium.

3. Droit applicable

Afin de garantir la sécurité juridique et la transparence aux opérateurs économiques, l’Union européenne a adopté le Règlement n° 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (le règlement général sur la protection des données ou « RGPD »). Le RGPD entre en vigueur le 25 mai 2018.

La législation locale de chaque État-membre reste pertinente dans les limites fixées par le RGPD.

La Politique est soumise au RGPD et à la législation locale pertinente de l’entité juridique Constellium concernée.

4. Principes en matière de traitement des Données à caractère personnel

Constellium s’engage à garantir que les Données à caractère personnel soient :

  • Traitées de manière légale, équitable et transparente ;
  • Recueillies à des fins précises, explicites et légitimes ;
  • Adéquates, pertinentes et limitées à ce qui est nécessaire ;
  • Exactes et, si nécessaire, à jour ;
  • Conservées pas plus de temps que ce qui est nécessaire aux fins prévues ;
  • Traitées d’une manière garantissant une sécurité appropriée, et notamment une protection contre tout traitement non autorisé ou illégal et contre toute perte, toute destruction ou tout dommage accidentel.

5. Responsabilités

Constellium garantit que le Traitement de son ensemble est réalisé conformément à la législation applicable.

  • Direction

La direction est chargée de définir et structurer tous les processus dans le cadre desquels les Données à caractère personnel peuvent être recueillies, traitées et/ou utilisées, et de veiller à ce qu’ils soient conformes à la présente Politique.

En particulier, les tâches suivantes relèvent de la responsabilité de la direction :

  • Veiller à ce que des mesures de sécurité techniques et organisationnelles soient en place ;
  • Veiller à ce que les processus relatifs à la collecte, à l’utilisation et/ou au traitement des Données à caractère personnel soient conformes à la législation applicable et à ce que les responsables de processus globaux et locaux soient informés des modifications nécessaires ;
  • Surveillance régulière de la législation applicable pertinente.
  • Employé

Chaque employé Constellium a l’obligation devoir de traiter les Données à caractère personnel auxquelles il a accès dans le cadre de son emploi comme des données strictement confidentielles.

Chaque employé Constellium peut collecter, utiliser et/ou traiter les Données à caractère personnel en vertu du processus défini au sein de Constellium mais uniquement dans la mesure nécessaire pour remplir ses fonctions.

  • Délégué à la protection des données

Lorsque cela est requis par la loi, chaque entité juridique Constellium désignera un délégué à la protection des données chargé de garantir la conformité à la loi pertinente sur la protection des données et le respect de la vie privée et aux dispositions de la présente Politique.

6. Comment traitons-nous les Données à caractère personnel ?

  • Dans quel contexte obtenons-nous des Données à caractère personnel ?
  • En recrutant des personnes ;
  • En étant contacté par des clients, des fournisseurs et/ou d’autres personnes via notre site Internet, par téléphone, par e-mail ou par tout autre biais ;
  • En prospectant de nouveaux clients.
  • Comment respectons-nous le principe de transparence énoncé dans le RGPD ?

Chaque Personne concernée est informée par l’entité juridique Constellium qui recueille les Données à caractère personnel que ses Données à caractère personnel sont collectées, utilisées et/ou traitées, et de la manière dont ses Données à caractère personnel sont traitées par Constellium.

Chaque Personne concernée est notamment informée (i) des types de Données à caractère personnel qui feront l’objet d’un Traitement ; (ii) de la ou des finalités précises ; (iii) des personnes auxquelles ces Données à caractère personnel peuvent être transmises ; et (iv) de la manière dont la Personne concernée peut exercer ses droits.

  • Comment utilisons-nous les Données à caractère personnel ?

Les Données à caractère personnel sont soumises au secret des données. Constellium applique les règles suivantes afin d’empêcher toute collecte, tout traitement ou toute utilisation non autorisé(e) de ces données de la part de ses employés :

  • Les employés ne peuvent accéder à des Données à caractère personnel que s’ils sont concernés par le type et par l’étendue de la tâche en question ;
  • Les employés ne divulgueront aucune Donnée personnelle à des personnes non autorisées, que ce soit à l’intérieur ou en dehors de la société ;
  • Les employés ne partageront aucune Donnée personnelle de manière informelle ;
  • Les employés demanderont de l’aide à leur responsable ou au Délégué à la protection des données (le cas échéant) s’ils ont des doutes concernant un quelconque aspect de la protection des données ;
  • Les employés recevront une formation adéquate pour les aider à comprendre leurs responsabilités lorsqu’ils traitent des Données à caractère personnel.
  • Comment garantissons-nous l’exactitude des données ?

Constellium garantit que les Données à caractère personnel sont exactes et, si nécessaire, tenues à jour, en appliquant les règles suivantes :

  • Les Données à caractère personnel seront conservées dans le plus petit nombre d’endroits nécessaire. Les employés ne créeront pas de fichiers supplémentaires inutiles ;
  • Les employés saisiront toutes les occasions pour s’assurer que les Données à caractère personnel sont à jour, et la direction s’assurera que les bases de données et les systèmes sont vérifiés régulièrement ;
  • Les Données à caractère personnel devront être mises à jour si des inexactitudes sont découvertes.
  • Comment traitons-nous les Données à caractère personnel ?

Constellium est conscient que la durée pendant laquelle les Données à caractère personnel sont stockées doit être limitée à un strict minimum.

Pour garantir un stockage sans risque, Constellium applique les règles suivantes :

  • Lorsque cela n’est pas nécessaire, le document papier ou le dossier doit être conservé dans un tiroir ou une armoire de rangement fermé(e) à clé ;
  • Les employés devront veiller à ce que les documents papier ou imprimés ne soient pas laissés à un endroit où des personnes non autorisées pourraient les voir ;
  • Les impressions de Données à caractère personnel doivent être déchiquetées et mises au rebut de manière sécurisée lorsqu’elles ne sont plus nécessaires ;
  • Les Données à caractère personnel devront être protégées par des mots de passe sûrs qui doivent être modifiés régulièrement et ne doivent jamais être partagés entre employés ;
  • Les Données à caractère personnel ne devront être stockées que sur des lecteurs et des serveurs prévus à cet effet, et ne devront être chargées que sur services informatiques en nuage approuvés ;
  • Les serveurs contenant des Données à caractère personnel devront être situés à un endroit sûr, éloigné des locaux à usage de bureau ;
  • Une copie de sauvegarde des Données à caractère personnel devra être réalisée fréquemment ;
  • Tous les serveurs et ordinateurs contenant des Données à caractère personnel doivent être protégés par des logiciels de sécurité et un pare-feu approuvés.

7. Droits des Personnes concernées

Conformément au RGPD, chaque Personne concernée possède les droits suivants :

  • Droit d’accès (article 15 du RGPD) : dans certains cas, la Personne concernée a le droit d'obtenir la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites Données à caractère personnel.
  • Droit de rectification (article 16 du RGPD) : la Personne concernée a le droit d'obtenir la rectification des données à caractère personnel la concernant qui sont inexactes.
  • Droit à l’effacement (article 17 du RGPD) : dans certains cas, la Personne concernée a le droit d'obtenir l'effacement de Données à caractère personnel la concernant.
  • Droit à la limitation du traitement (article 18 du RGPD) : dans certains cas, la Personne concernée a le droit d'obtenir la limitation du Traitement.
  • Droit à la portabilité des données (article 20 du RGPD) : dans certains cas, la Personne concernée a le droit de recevoir les données à caractère personnel la concernant qu'elle a fournies à un Responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable du traitement.
  • Droit d’opposition (article 21 du RGPD) : dans certains cas, la Personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des Données à caractère personnel la concernant. 

Afin de répondre efficacement à ces demandes et de transmettre en toute sécurité les   Données à caractère personnel à la Personne concernée, Constellium a élaboré un processus interne de traitement des demandes de la Personne concernée.

Une Personne concernée peut exercer ses droits en envoyant un courrier électronique à l’adresse : data.protection(at)constellium.com

8. Transfert de Données à caractère personnel

Constellium étant un groupe multinational, les Données à caractère personnel peuvent être transférées dans des pays situés en dehors de l’EEE. Dans ce cas, Constellium s’assure que le pays possède un niveau adéquat de protection des données, conformément aux articles 44 à 50 du RGPD.

Les transferts de Données à caractère personnel au sein du groupe Constellium font l’objet de mesure de protection appropriées prenant la forme d’un accord entre sociétés affiliées qui renvoie aux clauses types relatives à la protection des données adoptées par la Commission européenne (clauses de 2004 entre deux responsables de traitement et clauses de 2010 entre un responsable de traitement et un sous-traitant).

Les transferts de Données à caractère personnel en dehors du groupe Constellium sont gérés au cas par cas. Dans ce cas, Constellium garantit que ces transferts sont (i) réalisés sur la base d’une décision d’adéquation de la Commission européenne ou (ii) font l’objet de mesure de protection appropriées.

9. Sécurité

  • Mesures de sécurité techniques et organisationnelles

En cas de violation de données, Constellium a mis en œuvre un processus interne pour empêcher, détecter et interrompre toute violation de Données à caractère personnel ainsi que pour informer l’autorité de surveillance concernée et, le cas échéant, les Personnes concernées, en temps utile. 

Constellium a mis en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque de chaque Traitement.

Ces mesures sont détaillées dans la « Politique globale de sécurité des informations » et les documents ultérieurs :

  • Violation de Données à caractère personnel

En cas de violation de données, Constellium a mis en œuvre un processus interne pour empêcher, détecter et interrompre toute violation de Données à caractère personnel ainsi que pour informer l’autorité de surveillance concernée et, le cas échéant, les Personnes concernées, en temps utile.