Privacy Policy

Objectifs et définitions

Responsable du traitement des données

WEDDINGITALY Srl (ci-après également le « Responsable du traitement » ou l’« Organisation »), conformément au Règlement (UE) 2016/679 et au Décret législatif 196/2003, Code pour la protection des données personnelles (ci-après également le « Code de la protection des données »), est le responsable du traitement des données relatives aux personnes physiques identifiées ou identifiables qu’elle doit utiliser dans le cadre de ses activités pour poursuivre ses objectifs institutionnels.

Ce document contextualise les activités de traitement des données personnelles du responsable du traitement et décrit le « Modèle organisationnel de protection des données » adopté par l’organisation, c’est-à-dire l’ensemble des lignes directrices, des dispositions opérationnelles et de la documentation interne visant à encadrer le traitement des données personnelles par l’organisation.

Son siège social est situé Viale Venezia 6, 33100 Udine, et est ouvert au public.

Définitions

Règlement : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE (ci-après dénommé « RGPD » - Règlement général sur la protection des données), décret législatif 2003/196 (tel que modifié par le décret législatif 2018/101), ci-après également dénommé « Code de la protection des données ».

Responsable du traitement des données : La personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

Sous-traitant : Une personne physique ou morale, une autorité publique, un organisme ou tout autre organe qui traite des données à caractère personnel pour le compte du responsable du traitement.

Données personnelles : Informations se rapportant à une personne physique identifiée ou identifiable (la personne concernée). 

Catégories particulières de données personnelles : Il s’agit des données susceptibles de révéler l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, ainsi que le traitement des données génétiques. Les données biométriques destinées à identifier de manière unique une personne physique, les données relatives à sa santé ou à sa vie sexuelle ou à son orientation sexuelle.
Conformément au décret législatif 101/2028, art. 22(2), elles peuvent également être qualifiées de « données sensibles ».

Données biométriques : Données à caractère personnel résultant d’un traitement technique spécifique relatif aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique qui permettent ou confirment l’identification unique de cette personne physique, telles que l’image faciale ou les données dactyloscopiques.

Données de santé : Données personnelles relatives à la santé physique ou mentale d’une personne physique, y compris la fourniture de services de soins de santé, qui révèlent des informations sur son état de santé.

Personne concernée : La personne physique à laquelle se rapportent les données personnelles.

Autorisé à traiter les données : Personne physique formellement autorisée à effectuer des opérations de traitement par le responsable du traitement ou le sous-traitant (y compris les personnes désignées ).

Traitement : Toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, que ce soit ou non par des moyens automatisés, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation du traitement, l’effacement ou la destruction.

Pays tiers : Pays situés en dehors de l’Espace économique européen (Norvège, Islande, Liechtenstein).

Champ d'application

La présente politique de confidentialité s'applique à l'ensemble de l'Organisation, à toutes ses instances et structures, à tous les niveaux.

Son application est obligatoire pour tout le personnel interne et les collaborateurs externes qui traitent des données personnelles. 

Dans le cadre d'accords avec des tiers susceptibles de traiter des données personnelles appartenant à l'Organisation, le responsable du traitement des données détermine les sections de la présente politique à inclure comme instructions ou engagements de la part de ces tiers.

Le responsable du traitement des données assure la diffusion de la présente politique de confidentialité au sein de l'Organisation en tenant à disposition la documentation pertinente et en organisant des formations pour les personnes impliquées, à différents titres, dans le traitement des données personnelles.

Principes

Le responsable du traitement s’engage à garantir que les données personnelles sont traitées conformément aux dispositions légales et, conformément au principe de responsabilité , doit toujours être en mesure de démontrer et de justifier les choix effectués en matière de sécurité des données personnelles.

Les principes applicables au traitement constituent le fondement du RGPD et sont notamment énoncés aux articles 5 et 25 du Règlement. L’article 5 prévoit que les données personnelles doivent être :

  • traités de manière licite, loyale et transparente à l’égard de la personne concernée (principe de licéité, de loyauté et de transparence) ;
  • collectées à des fins spécifiques, explicites et légitimes, et traitées ultérieurement d’une manière qui n’est pas incompatible avec ces fins (principe de limitation des finalités) ;
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
  • précis et, le cas échéant, mis à jour (exactitude) ;
  • conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux fins pour lesquelles les données à caractère personnel sont traitées (limitation de la conservation) ;
  • traités de manière à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels, au moyen de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;
  • l’article 25 du RGPD exige que le responsable du traitement mette en œuvre, avant tout traitement, des mesures de sécurité techniques et organisationnelles afin d’assurer la protection des données dès la conception de ces activités et par défaut.

Ces lignes directrices s'appliquent non seulement au traitement des données à caractère personnel pour lequel l'organisation est responsable du traitement, mais également à tous les traitements effectués pour le compte de responsables tiers pour lesquels l'organisation est désignée comme sous-traitant, sauf instructions plus restrictives reçues des responsables du traitement eux-mêmes.

Lorsqu'il confie une partie du traitement à des tiers (sous-traitants), le responsable du traitement exige des garanties de protection similaires et la mise en œuvre de mesures de sécurité adéquates. Dans ce cas, les dispositions pertinentes de la présente politique sont mises à la disposition des sous-traitants sous forme d'instructions contraignantes conformément à l'article 28 du RGPD.

Contexte du traitement

Type de données personnelles et personnes concernées

L’organisation traite systématiquement les données personnelles de ses employés et collaborateurs, les données de ses clients et celles de ses fournisseurs.

Sa clientèle est principalement composée de personnes physiques.Le cas échéant, les données visées à l’article 9 du RGPD (catégories particulières de données personnelles) peuvent également être traitées afin de garantir les droits des personnes concernées et du responsable du traitement en matière de droit du travail, de sécurité sociale et de protection sociale.

Les services proposés impliquent le traitement des données personnelles nécessaires à l'exécution du contrat avec les clients. Dans le cadre de l'organisation de mariages et d'événements à la demande des clients, le traitement de données sensibles des personnes concernées peut s'avérer nécessaire, notamment des données de santé et des données relatives aux convictions religieuses ou philosophiques.

Avec le consentement explicite des personnes concernées, il sera possible de collecter des images et des enregistrements audiovisuels les représentant pendant la cérémonie ou les événements connexes à des fins promotionnelles pour le responsable du traitement des données.

Archives de données personnelles

Les archives papier [1] sont situées au siège du responsable du traitement des données, les archives de production informatisées sont stockées dans les espaces cloud fournis par Microsoft (responsable du traitement des données) avec la suite « Microsoft 365 » utilisée par l'organisation.

Le service cloud de Microsoft offre des redondances en matière de stockage ; dans tous les cas, le propriétaire conserve une archive de sauvegarde gérée par l'administrateur.

Pour une liste des mesures de sécurité adoptées par l’Organisation, veuillez vous référer à la dernière partie des évaluations des risques (section 09 du MOP).

Sécurité des traitements

Risques liés au traitement

Conformément au RGPD, le responsable du traitement des données a sélectionné les mesures de sécurité à adopter après avoir évalué les risques liés au traitement des données personnelles des employés. Cette évaluation des risques est réalisée selon le cadre proposé par l'ENISA [1](Agence européenne de la cybersécurité), qui propose également une série de mesures de sécurité classées par niveau de risque. Ces mesures sont largement liées aux contrôles proposés par la norme ISO/IEC 27001:2022 relative aux systèmes de management de la sécurité de l'information. Le niveau de risque global a été jugé moyen.

N.B. : En cas d'anomalies détectées dans l'utilisation des services et systèmes informatiques, le responsable du traitement des données pourra procéder à des contrôles progressifs. Si les anomalies persistent et que des besoins sont justifiés, ces contrôles pourront également cibler certains utilisateurs. Ils seront effectués dans le respect du droit du travail et de la dignité des personnes. Afin de protéger leur vie privée et leurs droits et libertés, les employés sont tenus d'utiliser les services et outils informatiques de l'entreprise à des fins professionnelles et de ne pas les utiliser pour traiter leurs données personnelles.

Légalité et justesse

Conformément aux principes de licéité et de loyauté, le responsable du traitement traite les données à caractère personnel en informant adéquatement les personnes concernées au moyen de documents rédigés conformément aux articles 13 et 14 du RGPD et en mettant en œuvre des instructions internes spécifiques afin de garantir l’exercice des droits prévus aux articles 15 à 22, 7 et 77 du RGPD.

Les notices d’information et les instructions relatives à l’exercice des droits des personnes concernées sont révisées au moins une fois par an.

Limitation de l'objectif et minimisation des données

Les finalités du traitement sont clairement indiquées dans les notices d'information et se limitent à ce qui est nécessaire à l'exécution des contrats conclus entre le responsable du traitement et les personnes concernées. Au moins une fois par an, le responsable du traitement vérifie que la documentation d'information destinée aux personnes concernées décrit fidèlement les finalités poursuivies et que le volume de données traitées n'excède pas ce qui est nécessaire .

Exactitude des données et limitations de stockage

Les données sont collectées et conservées de manière à garantir leur exactitude jusqu'à la fin de leur traitement. Selon les finalités du traitement, le responsable du traitement fixe une durée de conservation (ou un critère permettant de la déterminer) et en informe les personnes concernées dans les mentions d'information relatives à la protection des données. Les durées de conservation fixées par le responsable du traitement sont indiquées dans les registres de traitement. Le cas échéant, le responsable du traitement y précise également les motifs justifiant la durée de conservation.

Intégrité et confidentialité

L’organisation est consciente du caractère potentiellement sensible des données relatives à son personnel (ou aux membres de leur famille) et des données clients, et met en œuvre des mesures de sécurité techniques et organisationnelles appropriées.

Les personnes autorisées à traiter des données ou chargées de fonctions spécifiques liées à la protection de la vie privée sont tenues à la confidentialité et organisent, au moins une fois par an, des sessions de formation et de sensibilisation aux risques de sécurité et aux moyens de les gérer, ainsi qu’aux instructions internes.

Par le biais d’accords spécifiques de désignation de sous-traitants ou d’autres accords de protection des données conclus avec des tiers, le responsable du traitement des données vise à garantir des niveaux de sécurité similaires pour les données traitées par ces tiers.

Mise en œuvre des règles internes

Les règles de traitement des données personnelles sous l'autorité du responsable du traitement, WEDDINGITALY Srl, sont définies dans la documentation MOP (Modèle d'organisation de la protection des données), et plus précisément dans les documents suivants :

  • Désignation des autorités de traitement des données (article P04)
  • Désignation des responsables du traitement des données (article P08)
  • Règlement intérieur (section P10).

Le respect et la mise en œuvre des règles relèvent de la responsabilité des parties suivantes :

  • Le responsable du traitement des données, qui, à ce titre, définit les modalités de diffusion du contenu des politiques et règlements internes mettant en œuvre les dispositions contenues dans ces documents, est également responsable de :
    - effectuer une analyse des risques en utilisant des méthodologies appropriées et adopter des mesures de gestion des risques ;
    - établir les règles de conduite nécessaires au bon déroulement des activités de l'entreprise ;
    - vérifier les failles de sécurité, prendre les contre-mesures nécessaires et contrôler l'exposition de l'entreprise aux principales menaces et aux principaux risques ;
    - organiser des formations et sensibiliser le personnel à toutes les questions relatives à la qualité, à la sécurité et à la sécurité de l'information ;
    - vérifier périodiquement l'efficacité des mesures de sécurité.
  • Tout le personnel qui, à quelque titre que ce soit, collabore avec l'entreprise et participe de quelque manière que ce soit au traitement des données et informations relevant du champ d'application du Modèle d'organisation de la protection des données. Le personnel est responsable, dans ses domaines de responsabilité respectifs, du traitement des données conformément aux instructions reçues et du signalement de toute anomalie ou violation (même potentielle) de la présente politique dont il aurait connaissance. Le non-respect des instructions du responsable du traitement des données concernant le traitement des données personnelles expose les personnes autorisées à traiter ces données à des sanctions disciplinaires et, dans les cas les plus graves, à des poursuites civiles et pénales.
  • Toutes les parties externes qui entretiennent des relations et collaborent avec l'entreprise et qui doivent garantir le respect des exigences contenues dans la politique de confidentialité, telles que, par exemple, les collaborateurs ou fournisseurs externes qui peuvent traiter des données pour le compte ou sous l'autorité du responsable du traitement des données.

Surveillance du modèle organisationnel de « confidentialité »

La direction de l'entreprise examine l'efficacité et l'efficience du modèle organisationnel de protection des données (MOP) au moins une fois par an afin de garantir sa mise à jour et de soutenir adéquatement la mise en œuvre des améliorations nécessaires. Ce processus continu tient compte des évolutions réglementaires et technologiques, des coûts de gestion et des besoins changeants de l'organisation.

Le responsable du traitement des données prévoit de réviser cette politique en impliquant les personnes concernées au sein de l'entreprise et, si nécessaire, en faisant appel à des consultants externes.

Les activités d'examen doivent inclure l'état d'avancement des actions préventives et correctives ainsi que le respect des procédures conformément aux dispositions de la présente politique.

Le résultat du processus d'examen périodique comprend toutes les décisions prises et les actions entreprises pour améliorer le modèle organisationnel de protection de la vie privée.

Information et formation

Le responsable du traitement des données ne peut atteindre l'objectif d'un traitement des données conforme à la réglementation [2] et adapté au contexte qu'en accordant une attention particulière à la formation de son personnel. À cette fin, le modèle organisationnel de protection des données est mis à la disposition du personnel en poste et des nouvelles recrues dès leur arrivée.

Les mises à jour de ce modèle sont communiquées au personnel par les moyens jugés les plus efficaces.

Afin de créer un environnement propice à la protection des données et de former adéquatement le personnel assumant des rôles spécifiques dans la gestion des données personnelles, le responsable du traitement des données :

  • adopte un plan de formation destiné à l'ensemble du personnel de l'entreprise ;
  • prévoit la mise en place de modules spécifiques en fonction du rôle couvert et des changements d'emploi ;
  • adopte un plan de formation annuel sur la protection de la vie privée destiné à tous les employés de l'entreprise ;
  • conserve la documentation distribuée et les formulaires certifiant la participation aux sessions de formation et aux évaluations des connaissances acquises.

La formation des personnes autorisées à traiter des données et, le cas échéant, des autres acteurs clés du modèle organisationnel de protection des données, concerne en particulier :

  • les aspects généraux de la réglementation en matière de protection des données personnelles ;
  • les menaces, les vulnérabilités, la probabilité d’occurrence et par conséquent les risques qui menacent les données traitées ;
  • les conséquences découlant d'une violation de données personnelles (violation de données) ;
  • les procédures à suivre en cas de violation de données personnelles ;
  • mesures préventives visant à éviter ou du moins à réduire la probabilité de violations et mesures visant à atténuer les dommages le cas échéant ;
  • les aspects spécifiques de la réglementation relative à la protection des données personnelles dans le(s) secteur(s) concerné(s) par le responsable du traitement des données ;
  • l’utilisation sécurisée des outils et systèmes informatiques et toute réglementation définie par le responsable du traitement des données.

La formation doit être documentée conformément au principe de responsabilité énoncé à l'article 5(2) du RGPD et les résultats de cette activité doivent toujours être disponibles.

Les instances dirigeantes

Weddingitaly est une société à responsabilité limitée unipersonnelle. Sa structure organisationnelle simplifiée doit toutefois définir les éléments nécessaires à la réalisation des obligations et objectifs suivants :

  • s’assurer que tous les objectifs de sécurité de l’information sont identifiés et qu’ils sont cohérents avec le contexte opérationnel ;
  • définir les rôles et les responsabilités connexes pour la mise en œuvre et le maintien du modèle organisationnel de protection de la vie privée ;
  • fournir des ressources suffisantes pour la planification, la mise en œuvre, l'organisation, le contrôle, l'examen, la gestion et l'amélioration continue du modèle organisationnel de protection de la vie privée ;
  • veiller à ce que la protection des données soit intégrée dès la conception à tous les processus métier ;
  • activer des programmes pour sensibiliser et promouvoir la culture de la sécurité de l'information.

Le responsable du traitement des données reconnaît sa responsabilité au titre de la loi applicable et s'engage à protéger les données personnelles qui lui sont confiées contre la perte, l'utilisation abusive ou l'accès non autorisé.

Organigramme et système de nomination

Responsable du traitement des données

Le responsable du traitement des données doit veiller à l’identification précise des rôles et des responsabilités en matière de protection de la vie privée, tant en interne qu’en externe à l’organisation, en particulier en ce qui concerne les nominations et les désignations des personnes suivantes :

Responsables du traitement des données

Les sous-traitants sont des personnes physiques ou morales qui traitent des données à caractère personnel pour le compte du responsable du traitement, lequel demeure responsable de tout dommage résultant du traitement pour les personnes concernées. C’est pourquoi le responsable du traitement sélectionne ses sous-traitants parmi ceux qui remplissent les conditions requises et offrent des garanties suffisantes pour effectuer un traitement conforme à la réglementation. Le sous-traitant ne peut faire appel à un autre sous-traitant (un sous-traitant ultérieur) qu’à condition de lui imposer les mêmes obligations qu’à lui-même envers le responsable du traitement. Si le sous-traitant ultérieur manque à ses obligations en matière de protection des données, le responsable du traitement demeure pleinement responsable envers ce dernier de l’exécution de ces obligations par le sous-traitant ultérieur.

Le responsable du traitement désigne les sous-traitants par le biais d’un accord spécifique de protection des données contenant au moins toutes les clauses requises par l’article 28 du RGPD. Conformément à l’article 28 du RGPD, le sous-traitant ultérieur demeure pleinement responsable envers le responsable du traitement de l’exécution des obligations par le sous-traitant ultérieur. 82(2) du RGPD, « Un sous-traitant n’est responsable du dommage causé par le traitement que s’il n’a pas rempli les obligations du présent règlement qui lui sont spécifiquement destinées ou s’il a agi en dehors ou à l’encontre des instructions légitimes du responsable du traitement . »

Autorisé pour le traitement

Le responsable du traitement désigne formellement les personnes autorisées à traiter les données conformément à l'article 29 du RGPD et leur fournit des instructions de traitement conformes aux règles et procédures internes.

Ces personnes autorisées traitent les données à caractère personnel relevant de leur domaine d'activité et agissent sous l'autorité du responsable du traitement, en respectant ses instructions, notamment en ce qui concerne les procédures régissant l'utilisation des bases de données auxquelles elles ont accès.

Les personnes autorisées à traiter des données sont les suivantes :

  • signaler au responsable du traitement des données toute demande reçue de la personne concernée en lien avec l’exercice de ses droits garantis par le RGPD ;
  • ils notifient le responsable du traitement des données si une opération de traitement n'est pas conforme aux instructions reçues ;
  • signaler au responsable du traitement des données tout accès non autorisé ou tout autre incident, même suspect, concernant des données personnelles, des bases de données ou des systèmes informatiques susceptibles de compromettre la confidentialité, l’intégrité ou la disponibilité des données personnelles ;
  • ils participent aux formations organisées par le responsable du traitement des données sur les questions de protection des données ;
  • Ils s'engagent à préserver la confidentialité des données personnelles dont ils prennent connaissance dans l'exercice de leurs fonctions.

Conçu pour des fonctions spécifiques

Le responsable du traitement des données désigne, au sein de sa structure organisationnelle, des personnes spécifiques pour exercer des fonctions ou des tâches spécifiques concernant la protection des données personnelles conformément à l'article 2-quaterdecies du Code.

L'administrateur système

Le professionnel qui, dans le domaine informatique, assure la maintenance, la configuration et la gestion d'un système de traitement de données ou de ses composants, y compris les systèmes logiciels complexes (administrateur système), une base de données (administrateur de base de données) ou les réseaux et équipements de télécommunications de sécurité (administrateur réseau), est désigné comme la personne autorisée à traiter les données en tant qu'administrateur système.

L’attribution des fonctions d’administrateur système intervient après évaluation de l’expérience, des compétences et de la fiabilité de la personne désignée, qui apporte des garanties suffisantes de conformité totale aux dispositions applicables, notamment celles relatives à la sécurité [3].

La nomination d'un administrateur système doit être individuelle, explicitement stipulée par écrit et accompagnée d'une description détaillée du périmètre d'opérations autorisé, en fonction du profil d'autorisation attribué.

L'administrateur système peut utiliser des comptes autorisés pour accéder à un ou plusieurs systèmes avec des privilèges supérieurs à ceux d'un utilisateur standard. Par exemple, il a le pouvoir de créer, modifier et supprimer les utilisateurs ou entités autorisés à accéder aux services ou outils informatiques du responsable du traitement des données et/ou d'accorder ou de refuser l'accès à des ressources spécifiques à certains utilisateurs ou entités.

Si l'administrateur est extérieur à l'organisation, sa nomination en tant que sous-traitant de données sera envisagée.

Mesures générales de sécurité

La responsabilité de la protection des données traitées incombe aux personnes occupant les fonctions concernées au sein de l'organisation.

Une attention particulière doit être portée à l'utilisation des services et dispositifs informatiques, compte tenu de leur importance et de leur omniprésence, ainsi que de l'évolution constante des technologies qui engendre de nouveaux risques potentiels.

Les systèmes doivent être protégés physiquement et logiquement.

En fonction de la complexité des systèmes informatiques utilisés, le responsable du traitement des données peut établir des règles internes spécifiques.

Les principes directeurs en matière de sécurité informatique sont, une fois de plus, ceux du RGPD.

Toutes les mesures proportionnées au contexte du traitement permettant de garantir la confidentialité (notamment l’authentification et l’autorisation), l’intégrité et la disponibilité des données (par exemple, des systèmes de sauvegarde adéquats, des contrôles d’intégrité et des procédures de reprise après sinistre) doivent être mises en œuvre.

Dans ce contexte précis, les mesures de sécurité adoptées par le responsable du traitement des données sont indiquées dans la dernière partie des évaluations des risques (section P.09).


Notes

[1] Manuel sur la sécurité du traitement des données à caractère personnel – ENISA – 29 janvier 2018.

[2] Article 29 du règlement – « Traitement sous l’autorité du responsable du traitement ou du sous-traitant » Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou du responsable du traitement, qui a accès à des données à caractère personnel, ne doivent pas traiter ces données autrement que sur instruction du responsable du traitement, à moins que le droit de l’Union ou le droit d’un État membre ne l’exige.
Art. 2 quaterdecies du Code de la protection des données personnelles – « Attribution de fonctions et de tâches à des personnes désignées » Le responsable du traitement ou le sous-traitant peut prévoir, sous sa propre responsabilité et dans le cadre de sa structure organisationnelle, que des tâches et des fonctions spécifiques liées au traitement des données à caractère personnel soient attribuées à des personnes physiques expressément désignées qui agissent sous son autorité.

[3] Dispositions du Garant du 27 novembre 2008 relatives à l'attribution des fonctions d'administrateur système


[1] Apporter les modifications nécessaires.