Politique de protection des données

Politique de protection des données de Façade Creations Ltd

Introduction

Façade Creations Ltd s'engage à protéger la confidentialité et la sécurité des données personnelles conformément au Règlement général sur la protection des données (RGPD) britannique et à la loi britannique sur la protection des données de 2018 , ainsi qu'à toutes les autres lois applicables en matière de protection des données. Nous respectons également les dispositions pertinentes de la loi britannique sur les sociétés de 2006 , notamment en ce qui concerne la tenue et la sécurité des registres. La présente politique décrit comment Façade Creations collecte, utilise, stocke et protège les données personnelles dans le cadre de ses activités en tant qu'entreprise spécialisée dans la conception, la fabrication et l'installation de façades en aluminium sur mesure . Elle couvre les données personnelles de nos employés, clients, fournisseurs, utilisateurs de notre site web et autres parties prenantes, et explique les droits dont disposent les personnes concernées par leurs données.

Responsable du traitement des données

Façade Creations Ltd est le « responsable du traitement » chargé de déterminer comment et pourquoi les données personnelles sont traitées au sein de notre organisation. Pour toute question, demande ou préoccupation concernant les données personnelles ou la présente politique, veuillez contacter notre délégué à la protection des données :

• Courriel : info@facadecreations.co.uk
• Adresse postale : Façade Creations Ltd, 124 City Road, Londres, Angleterre, EC1V 2NX find-and-update.company-information.service.gov.uk

Rôles et responsabilités

La responsabilité ultime de la conformité à la réglementation sur la protection des données chez Façade Creations incombe à notre directeur, Hashim Choksi , qui supervise et applique la présente politique de protection des données. À ce jour, nous n'avons pas désigné de délégué à la protection des données (DPO), car nous n'y sommes pas légalement tenus compte tenu de la nature et de l'ampleur de nos traitements. Toutefois, la protection des données est assurée en interne par la direction. Tous les employés bénéficient d'une formation de base au RGPD et à la protection des données dans le cadre de leur intégration et de leurs formations continues. Ils sont tenus de comprendre et de respecter cette politique, et de signaler tout problème potentiel de protection des données à la direction. Des examens et des audits réguliers (voir la section « Examens et mises à jour » ci-dessous) sont menés afin de garantir la conformité et de corriger toute lacune.

Définitions

Aux fins de la présente politique, les définitions suivantes s'appliquent :

• Données personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »). Cela inclut les identifiants évidents tels que le nom, les coordonnées (courriel, téléphone, adresse postale), ainsi que les identifiants tels que le numéro d’employé, l’adresse IP ou toute information permettant d’identifier une personne.
• Traitement : Toute opération effectuée sur des données à caractère personnel, qu’elle soit automatisée ou manuelle. Le traitement comprend la collecte, l’enregistrement, l’organisation, la conservation, la modification, l’extraction, l’utilisation, la communication, la transmission, le regroupement, la limitation du traitement, l’effacement ou la destruction des données à caractère personnel.
• Personne concernée : La personne physique à propos de laquelle se rapportent les données personnelles. Par exemple, nos employés, nos clients et les utilisateurs de notre site web peuvent tous être considérés comme des personnes concernées au sens de la présente politique.
• Responsable du traitement des données : L’entité qui détermine les finalités et les moyens du traitement des données à caractère personnel (en l’occurrence, Façade Creations Ltd).
• Sous-traitant : Un tiers (autre que nos propres employés) qui traite des données personnelles pour le compte du responsable du traitement, conformément à ses instructions. (Par exemple, un fournisseur de services cloud hébergeant nos données peut agir en tant que sous-traitant.)

Collecte et traitement des données

Nous collectons et traitons les données personnelles uniquement à des fins spécifiques, explicites et légitimes, nécessaires à nos activités. Vous trouverez ci-dessous un aperçu des types de données personnelles que nous traitons, ainsi que des finalités et des bases juridiques de leur traitement :

1. Données RH – Finalité : Recruter, employer et gérer notre personnel, et respecter nos obligations légales en tant qu'employeur. Cela inclut le traitement des données pour l'administration des ressources humaines, la paie, les avantages sociaux, les évaluations de performance et la conformité aux normes de santé et de sécurité au travail.
   Catégories de données : Données personnelles des employés (nom, coordonnées, date de naissance, numéro de sécurité sociale), dossiers de candidature et informations relatives à l'emploi (CV, références, contrats de travail, postes occupés et dates d'emploi), données bancaires et de paie pour le versement des salaires, ainsi que toute certification ou justificatif de droit au travail nécessaire. Nous pouvons également conserver les dossiers de formation, les évaluations de performance et les documents disciplinaires, le cas échéant.
   Base juridique : Nécessité contractuelle (exécution du contrat de travail, par exemple le versement des salaires) ; Obligation légale (respect du droit du travail, des obligations fiscales et des obligations légales de conservation des documents, telles que les déclarations de paie auprès du HMRC et les exigences de la loi de 2006 sur les sociétés) ; et Intérêts légitimes (gestion efficace de nos effectifs et garantie de la continuité de l'activité, dans le respect des droits des employés).
2. Données clients et projets – Finalité : Gérer la relation client et assurer la conception et la pose de façades. Cela inclut le traitement des demandes, l'établissement de devis, la conclusion de contrats, l'exécution des projets et le respect des obligations légales et contractuelles (normes de santé et sécurité, réglementation du bâtiment, etc.).
   Catégories de données : Coordonnées clients (noms, fonctions, adresses professionnelles, numéros de téléphone, adresses e-mail) ; informations relatives aux projets fournies par les clients (exigences, spécifications, adresses des chantiers) ; historique des échanges avec les clients ; et informations contractuelles et financières (devis, contrats, factures, justificatifs de paiement).
   Base juridique : Nécessité contractuelle (prise de mesures à la demande du client avant la conclusion d'un contrat et exécution de nos contrats de conception, de fourniture et de pose de façades) ; Obligation légale (respect des réglementations en vigueur, notamment les normes de construction, les codes du bâtiment et la législation fiscale applicables aux transactions clients) ; et Intérêts légitimes (gestion efficace des projets, maintien de la relation client et communication avec les clients dans le cadre de notre activité – par exemple, envoi de mises à jour sur l'avancement des projets – selon des modalités raisonnables). Dans certains cas, nous pouvons également nous appuyer sur le consentement – ​​par exemple, si un client potentiel s’inscrit pour recevoir des newsletters marketing (voir Communications marketing ci-dessous).
3. Données relatives aux fournisseurs et prestataires – Finalité : Gérer l’approvisionnement en biens et services, coordonner nos sous-traitants et fournisseurs, et remplir nos obligations de paiement et de documentation de ces transactions. Ceci inclut les données relatives à nos fournisseurs, sous-traitants, consultants et autres tiers avec lesquels nous collaborons sur des projets.
   Catégories de données : Coordonnées des fournisseurs ou prestataires (nom de la personne de contact, raison sociale, adresse, courriel, téléphone) ; contrats et accords ; informations bancaires et de paiement (numéros de compte, codes guichet ou IBAN, numéro de TVA ou numéro d’entreprise) nécessaires aux paiements ; et qualifications ou informations d’assurance pertinentes (par exemple, attestation d’assurance responsabilité civile professionnelle ou certifications si requises par notre processus de sélection des prestataires).
   Base juridique : Nécessité contractuelle (conclure et exécuter des contrats avec nos fournisseurs et sous-traitants, par exemple, émettre des bons de commande, payer les factures) ; Obligation légale (par exemple, conserver les justificatifs de transactions à des fins fiscales et d’audit, se conformer aux lois anti-fraude ou anti-corruption applicables) ; et Intérêts légitimes (tels que la sélection des fournisseurs en fonction de leur qualité et de leur fiabilité, garantir l’efficacité de la chaîne d’approvisionnement des projets et assurer la continuité des activités). Ces intérêts sont mis en balance avec les éventuelles atteintes à la vie privée, et généralement les données que nous collectons dans ce contexte sont à vocation commerciale et non excessivement personnelles.
4. Données relatives aux communications marketing – Finalité : Envoyer des mises à jour, des actualités ou des communications marketing concernant nos services aux personnes ayant consenti à recevoir ces informations. Cela nous permet de promouvoir notre activité et de tenir les personnes intéressées informées de nos offres (par exemple, nouvelles solutions de façade, études de cas de projets ou événements).
   Catégories de données : Noms et coordonnées (adresse e-mail et nom de l’entreprise) des clients ou prospects ayant manifesté un intérêt pour nos services ou s’étant inscrits à notre liste de diffusion. Nous pouvons également enregistrer les préférences de communication (par exemple, les consentements explicites, le mode de contact préféré) et l’historique des interactions (par exemple, les taux d’ouverture des e-mails ou la participation aux événements, de manière agrégée).
   Base juridique : Consentement – ​​Nous nous appuyons sur le consentement explicite pour toutes nos communications marketing par e-mail. Les personnes ne sont ajoutées à notre liste de diffusion marketing que si elles nous ont donné un consentement clair (par exemple, en cochant une case d’inscription sur un formulaire ou en s’inscrivant via notre site web). Nous n’envoyons pas d’e-mails marketing de masse sans consentement. Les personnes concernées ont le droit de retirer leur consentement à tout moment. Chaque e-mail marketing que nous envoyons contient un de désabonnement , et les personnes peuvent également nous contacter à tout moment pour être retirées de nos listes de diffusion. Nous donnerons suite rapidement aux demandes de désabonnement.
5. Données utilisateur et cookies – Finalité : Exploiter et améliorer le site web de notre entreprise et comprendre comment les utilisateurs interagissent avec celui-ci. Lorsque vous visitez notre site web (www.facadecreations.co.uk), nous collectons certaines données via des cookies et des technologies similaires à des fins de fonctionnalité et d'analyse.
   Catégories de données : Nous utilisons des cookies pour les fonctionnalités essentielles du site (comme la gestion de session, qui mémorise vos préférences ou vous maintient connecté(e) le cas échéant) et pour des analyses de base. Les données analytiques (par exemple, via Google Analytics) sont généralement agrégées et anonymisées, ce qui nous permet de suivre le trafic et les habitudes d'utilisation du site web sans identifier directement les visiteurs. Nous ne collectons aucune information permettant de vous identifier personnellement via les cookies analytiques et nous n'utilisons pas de cookies à des fins publicitaires. Si notre site web comporte des formulaires de contact ou de demande de renseignements, les données personnelles que vous fournissez (par exemple, nom, adresse e-mail, numéro de téléphone et détails de votre demande) seront utilisées uniquement pour répondre à votre demande (dans le cadre des Données client ci-dessus) et traitées conformément à la présente politique.
   Base juridique : Intérêts légitimes – Il est dans notre intérêt de garantir le bon fonctionnement de notre site web et de comprendre son utilisation afin de l'améliorer, dans le respect de la vie privée des utilisateurs (les données analytiques sont anonymisées). Nous nous appuyons également sur votre consentement lorsque la loi l'exige (lors de votre première visite, une notification relative aux cookies vous demandera votre consentement pour les cookies non essentiels). Vous pouvez désactiver les cookies non essentiels à tout moment via les paramètres de votre navigateur ; veuillez toutefois noter que cela pourrait affecter certaines fonctionnalités du site.

Partage et transfert de données

Nous traitons les données personnelles de manière confidentielle et ne les partageons avec des tiers que si cela est nécessaire à la réalisation de la finalité pour laquelle elles ont été collectées, ou si nous y sommes légalement tenus. Lorsque le partage est nécessaire, nous appliquons le principe de minimisation des données et ne partageons que les informations indispensables. Les principaux cas dans lesquels nous pouvons être amenés à partager des données personnelles sont les suivants :

• Sous-traitants et fournisseurs : Nous partageons les données pertinentes avec nos sous-traitants, sous-consultants et fournisseurs selon les besoins de l’exécution des projets. Par exemple, nous pouvons communiquer à un sous-traitant les informations d’accès au site ou les noms des travailleurs à des fins de santé et de sécurité, ou encore partager les coordonnées du client avec un partenaire de livraison pour coordonner un envoi. Dans tous les cas, les tiers ne reçoivent que les données nécessaires à leur mission et sont tenus de les traiter en toute sécurité.
• Conseillers professionnels : Nous pouvons être amenés à partager des données avec nos assureurs , experts-comptables , avocats ou autres conseillers professionnels. Par exemple, un assureur pourrait recevoir des informations relatives à un sinistre incluant des données personnelles, ou nos experts-comptables pourraient avoir accès aux informations concernant les paiements des employés et des prestataires dans le cadre de leurs missions d’audit de la paie ou de leurs comptes. Ces parties sont tenues au secret professionnel ou liées par des accords contractuels relatifs à la protection des données.
• Consultants et partenaires commerciaux : Si nous faisons appel à des consultants externes ou à des partenaires de coentreprise pour un projet, nous pourrions avoir besoin de partager certaines données (par exemple, les coordonnées de l’équipe projet, les profils d’expérience pertinents) afin de faciliter la collaboration. Ce partage sera encadré par des accords de confidentialité et des accords de traitement des données, le cas échéant.
• Obligations réglementaires et légales : Nous divulguerons vos données personnelles aux organismes gouvernementaux, aux autorités de réglementation, aux forces de l’ordre ou aux tribunaux si la loi l’exige. Par exemple, nous pourrions être amenés à fournir des informations à l’administration fiscale britannique (HMRC) à des fins fiscales, au Bureau du commissaire à l’information (ICO) dans le cadre d’une enquête, ou pour nous conformer à une décision de justice ou à une assignation. Dans tous les cas, nous vérifierons la légitimité de la demande et ne partagerons que les données nécessaires en vertu de la loi.

Façade Creations ne vend aucune donnée personnelle à des tiers à des fins de marketing ou autres.

Transferts internationaux : En tant qu’entreprise basée au Royaume-Uni, nous stockons et traitons principalement les données au Royaume-Uni. Cependant, nous utilisons certains services cloud réputés (par exemple, Microsoft 365 pour la messagerie et le stockage de documents, Google Analytics et Xero pour la comptabilité), ce qui peut impliquer le stockage de données sur des serveurs situés hors du Royaume-Uni. Lorsque des données personnelles sont transférées hors du Royaume-Uni (ou de l’Espace économique européen) – par exemple, vers des centres de données aux États-Unis ou ailleurs – nous veillons à ce que des garanties juridiques soient en place. Ces garanties peuvent inclure des clauses contractuelles types (CCT) ou le recours à une décision d’adéquation du gouvernement britannique. Nous nous assurons également que nos prestataires de services sont certifiés ou contractuellement engagés à respecter des normes de protection des données équivalentes au RGPD. Nous vérifions rigoureusement la conformité de nos prestataires tiers en matière de protection des données et travaillons uniquement avec des entreprises reconnues internationalement pour leurs pratiques de sécurité robustes. Notre objectif est que les données personnelles bénéficient du même niveau de protection, quel que soit le lieu de leur traitement.

Sécurité des données

Façade Creations met en œuvre des mesures de sécurité techniques et organisationnelles pour protéger les données personnelles contre tout accès non autorisé, perte, destruction ou altération. Nous révisons et améliorons constamment nos pratiques de sécurité conformément aux normes du secteur. Voici quelques-unes des principales mesures que nous avons mises en place :

• Stockage sécurisé : Les données personnelles sous forme électronique sont stockées sur des systèmes sécurisés à accès contrôlé. Nous utilisons le chiffrement pour les données sensibles, qu’elles soient stockées ou en transit (par exemple, nos bases de données et nos ordinateurs portables sont chiffrés). Les serveurs sont protégés par mot de passe et pare-feu, et le stockage cloud (par exemple, SharePoint/OneDrive au sein de Microsoft 365) est chiffré et surveillé. Les documents papier contenant des données personnelles sont conservés dans des armoires verrouillées ou dans des bureaux sécurisés à accès restreint.
• Contrôle d'accès : L'accès aux données personnelles est strictement limité au personnel autorisé qui en a besoin pour l'exercice de ses fonctions. Différents niveaux d'accès sont accordés selon le rôle (principe du moindre privilège). Par exemple, les données RH sont accessibles uniquement au personnel RH et à la direction autorisés ; les données de projet sont accessibles à l'équipe projet et aux administrateurs concernés. Tous les employés sont tenus d'utiliser des mots de passe robustes et uniques pour les systèmes de l'entreprise, et l'authentification multifacteurs est activée chaque fois que cela est possible pour l'accès à distance.
• Communication sécurisée : Lorsque nous transmettons des données personnelles à des tiers (par exemple, des informations de paie à notre comptable ou des données de projet à un sous-traitant), nous utilisons des canaux sécurisés. Les courriels sont envoyés par défaut via des connexions TLS chiffrées, et nous protégeons par mot de passe ou chiffrons les fichiers contenant des données particulièrement sensibles. Nous déconseillons fortement l’utilisation de canaux non sécurisés pour tout transfert d’informations personnelles.
• Sécurité physique : Nos bureaux sont sécurisés afin d’empêcher toute intrusion. L’accès aux bureaux et aux zones d’archivage est réservé au personnel (muni d’une clé ou d’un badge d’accès), et les visiteurs sont accompagnés. Aucun document ni appareil contenant des données personnelles n’est laissé sans surveillance dans les espaces communs. Nous procédons également à la destruction de tout document papier contenant des données personnelles et appliquons une politique de bureau propre afin de minimiser l’exposition des documents confidentiels.
• Sécurité des appareils et des systèmes informatiques : Tous les ordinateurs portables et appareils de l’entreprise sont équipés d’un logiciel antivirus/antimalware à jour et font l’objet de mises à jour de sécurité régulières. Nous gérons le parc informatique afin d’assurer le suivi des appareils de l’entreprise et leur mise au rebut en toute sécurité. Les disques durs externes et les clés USB contenant des données personnelles sont chiffrés ou évités autant que possible.
• Services tiers : Nous faisons appel à des fournisseurs de services cloud et informatiques de confiance (tels que Microsoft et Xero) pour soutenir notre activité. Avant de collaborer avec un fournisseur qui traitera des données personnelles, nous évaluons ses certifications de sécurité et ses politiques de confidentialité afin de garantir leur conformité au RGPD. Nous signons des accords de traitement des données avec ces fournisseurs pour nous assurer de leur engagement à protéger les données en notre nom.
• Surveillance et tests : Nous réalisons régulièrement des audits de sécurité et des évaluations des risques de nos systèmes. Les droits d’accès des employés sont revus périodiquement afin de garantir que seuls les accès nécessaires soient conservés. Nous assurons également une formation continue au personnel sur les bonnes pratiques en matière de cybersécurité (notamment la détection des tentatives d’hameçonnage et la protection des informations).

En mettant en œuvre les mesures susmentionnées, nous nous efforçons de maintenir un niveau de sécurité élevé et de réduire le risque de violations de données ou de divulgation non autorisée de données.

Conservation des données

Nous conservons les données personnelles uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées et au respect de nos obligations légales, comptables et de déclaration. Les durées de conservation sont déterminées en fonction du type de données et des obligations légales et réglementaires applicables. Nos politiques générales de conservation sont les suivantes :

• Dossiers RH des employés : Nous conservons les données personnelles des employés pendant une durée maximale de 6 ans après la fin de leur contrat de travail , conformément aux délais de prescription légaux en vigueur au Royaume-Uni et aux exigences du HMRC (administration fiscale britannique). Cela inclut la conservation des informations d’identification de base, des contrats de travail et des bulletins de paie pendant six ans après la cessation d’emploi. Certains documents peuvent être conservés plus longtemps si nécessaire (par exemple, les informations relatives au régime de retraite ou les dossiers d’accidents du travail peuvent être conservés plus longtemps en vertu de réglementations spécifiques), mais nous ne conservons pas l’intégralité des dossiers RH indéfiniment.
• Documents financiers : Les documents financiers susceptibles de contenir des données personnelles (factures, relevés de paiement, notes de frais, etc.) sont conservés pendant six ans après la clôture de l’exercice, conformément à la réglementation fiscale britannique (HMRC) et aux obligations de conservation des documents prévues par la les sociétés de 2006 (Companies Act 2006) . Cette période nous permet de disposer des documents nécessaires en cas d’audit ou de demande d’informations financières. Au terme de ces six années, ces documents sont détruits de manière sécurisée, sauf si une durée de conservation plus longue est légalement requise pour certains éléments spécifiques.
• Dossiers de projet et clients : Les documents relatifs au projet (correspondance client, contrats, plans, etc.) sont conservés pendant toute la durée du projet et généralement pendant 6 à 10 ans après son achèvement. La durée exacte dépend des obligations contractuelles et des considérations de responsabilité ; par exemple, les contrats stipulent souvent la conservation de certains documents pendant un certain nombre d’années. Dans le secteur de la construction, une période de 6 à 12 ans est courante (12 ans si le document est sous scellés). Nous avons adopté une durée de 10 ans comme règle générale pour les dossiers des projets importants afin de couvrir les périodes potentielles de responsabilité pour vices cachés. Ces dossiers sont archivés en toute sécurité et ne sont consultés qu’en cas de besoin, à titre de référence ou pour des raisons juridiques.
• Données relatives aux demandes de renseignements et aux prospects : Si une personne nous contacte pour obtenir des renseignements sans conclure de contrat, nous conservons la correspondance relative à cette demande et ses coordonnées pendant une durée maximale de deux ans à compter de la dernière interaction. Ceci nous permet d’assurer un suivi auprès de clients potentiels ou de comprendre nos échanges passés. Après deux ans d’inactivité (ou immédiatement sur demande), nous supprimons ou anonymisons les données relatives aux demandes de renseignements. Pour les personnes ayant consenti à recevoir des communications marketing, nous conservons leurs données jusqu’à leur désinscription ou le retrait de leur consentement. Nous les supprimons alors rapidement de nos listes de diffusion actives (tout en maintenant une liste d’exclusion afin de respecter les demandes de non-contact).
• Autres catégories : Les enregistrements de vidéosurveillance (le cas échéant) sont généralement conservés pendant une courte période (par exemple, 30 jours), sauf s’ils sont nécessaires à une enquête. Les données des candidats non retenus sont généralement conservées pendant 6 mois maximum, sauf si le candidat consent à une conservation plus longue pour d’éventuelles opportunités futures.

Dans tous les cas, une fois la durée de conservation expirée, nous procédons soit à la suppression sécurisée des données personnelles, soit anonymisation (afin qu'elles ne puissent plus être associées à une personne physique). La suppression sécurisée peut impliquer l'effacement définitif des fichiers électroniques à l'aide de logiciels appropriés et la destruction des documents physiques. Nous tenons à jour un calendrier de conservation des données et procédons régulièrement à des examens des données que nous détenons afin de nous assurer que nous ne conservons pas les données personnelles plus longtemps que nécessaire.

droits individuels

Les personnes concernées (celles dont nous détenons les données) disposent de plusieurs droits en vertu du RGPD britannique. Façade Creations respecte et fait respecter ces droits. En résumé, les personnes concernées ont le droit de :

• Droit d’accès : Vous pouvez demander confirmation du traitement de vos données personnelles et, le cas échéant, en obtenir une copie, ainsi que des informations sur leur utilisation. Cette démarche est communément appelée « demande d’accès aux données ». Nous vous fournirons ces informations de manière concise et transparente, généralement dans un délai d’un mois suivant la réception d’une demande valide.
• Droit de rectification : Si les données personnelles que nous détenons vous concernant sont inexactes ou incomplètes, vous avez le droit de nous demander de les corriger ou de les mettre à jour. Après vérification, nous rectifierons les inexactitudes dans les meilleurs délais.
• Droit à l’effacement : Vous avez le droit de demander la suppression de vos données personnelles dans certaines circonstances, par exemple si elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, ou si vous retirez votre consentement et que nous ne disposons d’aucune autre base légale pour leur traitement. Ce droit est parfois appelé « droit à l’oubli ». Veuillez noter que ce droit n’est pas absolu ; nous pouvons être amenés à conserver certaines informations lorsque nous avons une obligation légale ou un intérêt légitime prépondérant à le faire (nous vous en informerons le cas échéant).
• Droit à la limitation du traitement : Vous pouvez nous demander de limiter le traitement de vos données sous certaines conditions. Par exemple, si vous contestez l’exactitude des données ou si vous vous êtes opposé à leur traitement (voir ci-dessous), vous pouvez demander une limitation du traitement le temps de résoudre le problème. Lorsque le traitement est limité, nous continuons à conserver vos données, mais nous ne les utilisons ni ne les partageons, sauf dans des circonstances exceptionnelles (par exemple, avec votre consentement ou pour des actions en justice).
• Droit d'opposition : Lorsque nous traitons vos données personnelles sur la base de nos intérêts légitimes , vous avez le droit de vous opposer à ce traitement. Si vous vous y opposez, nous cesserons de traiter les données concernées, sauf si nous pouvons démontrer des motifs légitimes et impérieux justifiant le traitement et prévalant sur vos droits, ou si le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice. Vous disposez également d'un droit inconditionnel de vous opposer à l'utilisation de vos données personnelles à des fins de prospection commerciale ; en cas d'opposition, nous cesserons immédiatement toute utilisation à ces fins.
• Droit à la portabilité des données : Lorsque vous nous avez communiqué des données et que leur traitement est effectué par des moyens automatisés sur la base de votre consentement ou pour l’exécution d’un contrat, vous avez le droit de demander une copie de ces données dans un format couramment utilisé et lisible par machine, et/ou de les faire transférer à un autre responsable du traitement (lorsque cela est techniquement possible). Ce droit s’applique principalement aux données que vous nous avez activement fournies. Nous vous assisterons dans la mesure du possible dans vos demandes.

Pour exercer l'un de ces droits, veuillez nous contacter à l'adresse info@facadecreations.co.uk en précisant votre demande. Nous pourrions avoir besoin de vérifier votre identité afin d'éviter de divulguer des données à une personne non autorisée. Dans certains cas, nous pourrions également vous demander des précisions sur la portée de votre demande (par exemple, si vous avez eu plusieurs échanges avec nous). Nous répondrons à toutes les demandes valides dans les meilleurs délais, et au plus tard un mois après leur réception. Si nous avons besoin de plus de temps (jusqu'à deux mois supplémentaires pour les demandes complexes), nous vous informerons de cette prolongation et des raisons qui la justifient. En règle générale, le traitement des demandes est gratuit, sauf si une demande est manifestement infondée ou excessive. Dans ce cas, nous pourrions facturer des frais raisonnables ou refuser la demande (en fournissant une justification).

Procédure en cas de violation de données

Malgré nos mesures de sécurité rigoureuses, une violation de données (incident entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles, qu'ils soient accidentels ou illégaux) reste possible. Façade Creations a mis en place un plan de réponse aux violations de données afin de garantir une gestion rapide et efficace de tels incidents. Notre procédure est la suivante :

1. Détection et confinement : Les employés sont formés pour signaler immédiatement à la direction toute suspicion de violation de données (par exemple, perte d’un appareil, activité système suspecte ou envoi d’un courriel par erreur à un destinataire incorrect). Dès qu’une violation potentielle est signalée ou détectée, nous agissons rapidement pour contenir : isolement du système compromis, rappel des courriels envoyés par erreur ou modification des identifiants d’accès afin d’empêcher tout accès non autorisé ultérieur. Nous consignons également l’incident, son horodatage et les mesures prises.
2. Évaluation : L’équipe responsable (sous la direction de la direction générale et du service informatique, et incluant notre responsable de la protection des données) enquêtera sur et en évaluera l’ampleur. Nous déterminerons quelles données personnelles sont concernées, le nombre de personnes touchées, les conséquences potentielles pour ces personnes et si les données ont été récupérées ou sont toujours exposées. Cette évaluation des risques est effectuée rapidement, car elle oriente nos prochaines étapes en matière de notification.
3. Notification : Si la violation est susceptible d'entraîner un risque pour les droits et libertés des personnes (par exemple, risque d'usurpation d'identité, perte financière, atteinte à la sécurité personnelle ou autre préjudice grave), nous en informerons le Bureau du Commissaire à l'information du Royaume-Uni ( ICO) dans les 72 heures suivant la découverte de la violation, conformément à la loi. Notre notification à l'ICO précisera la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, les conséquences probables et les mesures prises ou envisagées pour y remédier. Si le délai de 72 heures est dépassé et que nous n'avons pas recueilli toutes ces informations, nous soumettrons une première notification et fournirons des informations complémentaires dès qu'elles seront disponibles. De plus, si la violation est susceptible d'entraîner un risque élevé pour les personnes concernées (par exemple, fuite d'informations sensibles pouvant conduire à une fraude ou à un préjudice), nous les informerons sans délai et de manière claire des faits et des mesures à prendre pour se protéger. Nous fournirons aux personnes concernées des conseils pour atténuer les conséquences négatives (par exemple, réinitialiser leurs mots de passe, surveiller toute activité suspecte, etc.). Si la violation ne présente pas de risques importants (par exemple si les données ont été cryptées ou rapidement récupérées), nous n'aurons peut-être pas besoin d'en informer les personnes concernées, mais nous documenterons tout de même l'incident en interne.
4. Analyse et prévention : Après avoir géré l’incident immédiat, nous procéderons à une analyse post-incident afin d’en comprendre pleinement les causes et d’identifier les axes d’amélioration. Nous prendrons les mesures correctives nécessaires pour prévenir tout incident similaire à l’avenir, telles que la révision des procédures, le renforcement des mesures de sécurité ou la formation complémentaire du personnel. Toutes les violations et incidents évités de justesse sont consignés dans notre registre interne des violations, accompagné des détails de notre intervention et des résultats obtenus, conformément à nos obligations de responsabilité.

Nous prenons toute violation de données très au sérieux. En suivant cette procédure, nous visons à minimiser les préjudices subis par les personnes concernées et à tirer des enseignements des incidents afin de renforcer en permanence nos mesures de protection des données.

Revue et mises à jour

régulièrement cette politique de protection des données afin de garantir sa conformité avec l'évolution de la législation et de nos activités. Elle est révisée au minimum une fois par an . Des révisions seront également déclenchées en cas de changements importants, par exemple lors de la mise en place de nouvelles activités de traitement de données, de modifications réglementaires ou de la découverte d'une anomalie importante suite à un audit de protection des données ou à une enquête sur une violation de données.

Les mises à jour de cette politique seront approuvées par la direction de l'entreprise. Le directeur (Hashim Choksi) est responsable de l'approbation formelle de toute révision et du suivi de son application au sein de l'organisation. En cas de modification, la politique révisée sera publiée sur notre site web et la date de « dernière mise à jour » sera ajustée en conséquence. Pour les modifications importantes, nous pourrons également informer directement les employés ou autres personnes concernées (par exemple, par courriel ou note de service interne), notamment si ces modifications ont une incidence sur le traitement de leurs données ou sur leurs droits.

Nous réalisons également des audits périodiques de protection des données et des contrôles de conformité (en interne ou avec l'aide de conseillers externes) afin de garantir que nos pratiques sont conformes à la présente politique. Les conclusions de ces audits serviront à améliorer nos processus et pourront entraîner des mises à jour de notre politique ou des formations complémentaires.

En révisant et en mettant à jour régulièrement notre politique et nos pratiques, Façade Creations réaffirme son engagement envers des normes élevées en matière de protection des données et s'adapte de manière proactive aux nouvelles évolutions.

L'ICO et les plaintes

Nous souhaitons que chacun ait confiance dans la manière dont nous traitons ses données personnelles. Si vous avez des inquiétudes ou des réclamations concernant nos pratiques en matière de protection des données, nous vous invitons à nous contacter directement afin que nous puissions y remédier. Par ailleurs, vous avez le droit de déposer une plainte auprès de l'autorité de contrôle britannique en matière de protection des données, à savoir le Bureau du commissaire à l'information (ICO) . Vous pouvez contacter l'ICO via son site web (ico.org.uk) ou par téléphone.

Nous incluons des informations sur le droit des personnes de contacter l'ICO dans nos mentions légales (par exemple, sur notre site web et dans les clauses contractuelles de protection des données). Nous coopérerons pleinement avec l'ICO en cas d'enquête. Bien entendu, nous espérons résoudre tout problème en collaborant directement avec vous ; votre confiance est primordiale.

Contactez-nous

Si vous avez des questions concernant cette politique de protection des données, ou si vous souhaitez exercer vos droits en matière de protection des données, n'hésitez pas à nous contacter :

Courriel : info@facadecreations.co.uk
Adresse postale : Service de protection des données – Façade Creations Ltd, 124 City Road, Londres, EC1V 2NX, Royaume-Uni

Nous serons heureux de vous aider et nous nous efforcerons de répondre rapidement à toutes les demandes légitimes.

Façade Creations Ltd – Enregistrée en Angleterre et au Pays de Galles (N° d'entreprise : 16267073)

Dernière mise à jour : octobre 2025