Mise en conformité au RGPD – Information pour les clients du groupe Menway

Depuis 2010, le groupe Menway a mis en œuvre des dispositions pour garantir la protection des données personnelles des candidats aux offres d’emploi pour lesquelles ses consultants ont la charge du recrutement, confié par ses clients. Dès 2010, le groupe a nommé un Correspondant Informatique et Liberté (CIL), dont la mission était de veiller au respect des dispositions prévues par la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

En mai 2018, Menway a désigné un Data Protection Officer (DPO), conformément aux mesures définies par le Règlement Général sur la Protection des Données (RGPD). Le groupe et ses filiales mettent tout en œuvre pour assurer la sécurité et la protection des données qui leurs sont confiées, dans le respect du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, de la loi 2016-1321 du 7 octobre 2016, pour une République numérique.

Le Règlement (UE) 2016/679 reprend plusieurs dispositions déjà en vigueur en France et réglementées par la Loi Informatique et Libertés. Ainsi, la démarche de respect de la protection des données à caractères personnels, initiée par le groupe Menway, a permis d’être, d’ores et déjà, en conformité sur plusieurs aspects prévus par le RGPD.

Les dispositions prises par le groupe Menway pour ses sociétés et présentées ci-après sont pour certaines d’ores et déjà en vigueur, pour d’autre en cours de déploiement.

1 Le groupe Menway et ses filiales

1.1 Liste des sociétés concernées

1.2 Les sites internets du groupe

Les sociétés du groupe Menway sont amenées à collecter des données par ses sites internet propriétaires : https://menway.com, https://my.yupeek.com, https://reservoirjobs.com, https://www.addit.com/, https://www.latacsolerim.com/, https://www.alexinterim.fr/, https://www.satisfo-agence-emploi.fr/, https://www.publirelais.com/ et/ou par tout mini-site dont l’URL serait un sous-domaine de l’un de ses sites. Le site menway.com appartient à la société Menway Holding. Les sites yupeek.com et reservoirjobs.com. Les sites https://www.addit.com/, https://www.latacsolerim.com/, https://www.alexinterim.fr/, https://www.satisfo-agence-emploi.fr/ et https://www.publirelais.com/ appartiennent à la société Solerim.

2 Données à caractère personnel collectées et traitées par le groupe Menway

2.1 Définition des données

Dans le cadre de l’exercice de ses missions, confiées par ses clients, le groupe Menway et ses filiales sont amenés à collecter et traiter des données personnelles. Il s’agit notamment de données relatives à l’identité et des informations de contact (e-mail, adresse et numéro de téléphone) et de l’ensemble des données figurant sur les CV (Curriculum Vitae) adressés par les candidats. En fonction de la nature de la demande, Menway peut être amené à interroger le candidat sur ses critères de recherche d’un emploi et ses préférences, son expérience professionnelle, son salaire, sa formation, ses compétences, lui demander des références professionnelles, et tout complément d’information par rapport au contenu de son CV (curriculum vitæ).

3 Collecte des données à caractère personnel

3.1 Les moyens de collecte des données personnelles

a. Le groupe Menway et ses filiales sont amenés à collecter des données personnelles lors du dépôt de candidature spontanée d’une personne ou d’une candidature à une offre d’emploi sur les des sites internet du groupe, mentionnés au paragraphe 1.2.

b. Le groupe Menway et ses filiales sont amenés à collecter des données personnelles lors du dépôt de candidature physique d’une personne à une offre d’emploi (CV remis en main propre).

c. Le groupe Menway et ses filiales sont amenés à collecter des données personnelles lors du dépôt de candidature spontanée d’une personne par e-mail, par messagerie d’un réseau social ou par tout autre moyen numérique de communication.

d. Le groupe Menway et ses filiales sont amenés à collecter des données personnelles de salariés souhaitant bénéficier d’un accompagnement (coaching, bilan de compétence, reclassement …) par une demande sur le site menway.com.

e. Le groupe Menway et ses filiales sont amenés à collecter des données personnelles de personnes à travers les données publiques de ces personnes sur des réseaux sociaux (Linkedin, Viadéo …)

f. Le groupe Menway et ses filiales sont amenés à collecter des données personnelles de candidats à une offre d’emploi diffusée sur des plateformes en ligne, qu’elles soient, pour Menway, gratuites ou payantes. Les sociétés éditrices de ces sites étant des sous-traitants du groupe Menway et de ses filiales.

g. Le groupe Menway et ses filiales sont amenés à collecter des données personnelles de candidats à une offre d’emploi ou de salariés de ses clients à travers des logiciels et outils numériques en ligne relatifs à des test de personnalités, d’évaluation ou de sécurisation de la prise de décision. Les sociétés éditrices de ces solutions étant des sous-traitants du groupe Menway et de ses filiales.

h. Le groupe Menway et ses filiales sont amenés à traiter des données personnelles de candidats à une offre d’emploi, collectées par ses clients à travers des outils numériques (ATS), propriétaire ou non du-dit client.

i. Le groupe Menway et ses filiales sont amenés à traiter des données personnelles de salariés de ses clients dans le cadre d’accompagnement individuels ou collectifs (coaching, formation, bilan de compétences, reclassement…).

j. La société Menway Holding est amenée à collecter des données relatives à l’utilisation de ses sites internet en vue d’établir des statistiques permettant l’amélioration de ses services. Ces informations de parcours utilisateur, de source de trafic, de géolocalisation ne sont pas agrégées avec les données personnelles collectées lors d’une candidature à une offre d’emploi et sont traitées de manière anonyme.

3.2 La collecte du consentement explicite

a. Le groupe Menway et ses filiales s’assurent du consentement explicite des personnes transmettant des données personnelles les concernant. Ces personnes sont, en remettant leur consentement, informées de l’utilisation de leurs données, de leur durée de conservation ainsi que des modalités et des finalités de traitement.

b. Pour les cas mentionnés aux 3.1.a et 3.1.d, les personnes expriment leur consentement en ligne sur l’un des sites du groupe Menway et de ses filiales en cochant la mention « j’ai lu et j’accepte la charte de protection des données personnelles du groupe Menway ».

c. Pour les cas mentionnés au 3.1.b, les personnes expriment leur consentement en remplissant un formulaire papier remis en main.

d. Pour les cas mentionnés au 3.1.c et 3.1.e, un e-mail est envoyé à la personne transmettant ses données personnelles, pour lui demander son consentement explicite.

e. Pour les cas mentionnés aux 3.1.f et 3.1.g, le groupe Menway et ses filiales s’assurent de la mise en conformité de ses sous-traitants et de la collecte, par le sous-traitant du consentement explicite de la personne. Celui-ci étant transmis au groupe Menway et ses filiales, en même temps que le transfert des données personnelles.

f. Pour les cas mentionnés aux 3.1.h et 3.1.i, le groupe Menway et ses filiales s’assurent de la mise en conformité de ses clients et de la collecte par le client du consentement explicite de la personne. Celui-ci étant transmis au groupe Menway et ses filiales, en même temps que le transfert des données personnelles.

g. Pour les cas mentionnés au 3.1.j, la société Menway Holding s’assure du consentement explicite des personnes qui acceptent l’utilisation de cookies par le site internet.

3.3 Sécurisation de la collecte des données personnelles

Les sites internet du groupe Menway et de ses filiales, mentionnés au 1.2 sont sécurisés par le protocole HyperText Transfer Protocol Secure, plus connu sous l’abréviation HTTPS — littéralement « protocole de transfert hypertexte sécurisé ». Il est la combinaison du HTTP avec une couche de chiffrement SSL.

4 Conservation des données à caractère personnel

4.1 Outils de conservation

a. Les données numériques ou numérisées collectées par le groupe Menway et ses filiales, mentionnées aux 3.1.a, 3.1.b, 3.1.c, 3.1.d, 3.1.e, 3.1.f, 3.1.g, 3.1.h et 3.1.i, sont conservées sur des serveurs propriétaires et des postes propriétaires distants sécurisés.

b. Tous les serveurs et postes distants sont la propriété de la société Menway Holding et sont localisés au sein de l’Union Européenne, en France. Le groupe Menway et ses filiales n’effectuent aucun transfert de données, en dehors de l’Union Européenne.

c. Le groupe Menway disposant de deux filiales ayant des bureaux au Luxembourg, certaines données peuvent y être transférées.

d. Dans l’éventualité où l’une des sociétés du groupe Menway serait amenée à faire des transferts en dehors de l’Union Européenne, Menway s’engage à obtenir au préalable l’accord de son client concerné, dès lors que le pays destinataire dispose d’un niveau de protection adéquat au sens du RGPD.

e. Le groupe Menway met à disposition de ses salarié.e.s et/ou de ses clients, un système de cloud. Les données accessibles via ce dispositif sont sécurisées et stockées au sein des serveurs du groupe, localisés au siège du groupe à Metz, France.

f. Les données personnelles collectées par le groupe Menway et ses filiales, mentionnées aux 3.1.a, 3.1.b, 3.1.c, 3.1.d, 3.1.e, 3.1.f, 3.1.g, 3.1.h et 3.1.i, peuvent être conservées physiquement sur papier dans des armoires au sein des bureaux du groupe Menway et de ses filiales.

4.2 Sécurisation de la conservation des données personnelles

a. Les serveurs mentionnés au 4.1.a sont basés au siège du groupe Menway à Metz, dans un local sécurisé par digicode avec une climatisation et un onduleur pour sécuriser l’installation électrique, notamment en cas de surtension. Ces bureaux bénéficient d’un système de vidéo-protection.

b. Les serveurs sont sauvegardés selon la norme GFS (Grandfather, Father, Son) : Les sauvegardes sont effectuées quotidiennement ; une fois par semaine et sont conservées pour une durée d’1 (un) mois ; une fois par mois et sont conservées pour une durée d’1 (un) an ; une fois par an et sont conservées sans limite de temps.

c. Les armoires mentionnées au 4.1.f sont fermées à clés. Les bureaux du groupe Menway sont sécurisés.

d. La connexion des collaboratrices et collaborateurs du groupe Menway aux serveurs et aux ordinateurs distants mentionnés au 4.1.a, s’effectue grâce à un protocole VPN (virtual private network).

e. Le groupe Menway et ses filiales s’assurent que les mots de passe des sessions informatiques mises à disposition des collaboratrices et collaborateurs de ses sociétés sont changés régulièrement et au moins une fois par trimestre. Le mot de passe permettant d’accéder au réseau wifi dans les bureaux du groupe Menway est changé tous les 3 mois.

4.3 Restauration et accès aux données en cas de défaillance

Le groupe Menway et ses filiales garantissent la possibilité de restaurer tout ou partie des données sur les serveurs mentionnés aux 4.1.a et 4.2.a. Le délai de restauration est fonction de la volumétrie des données à restaurer.

La société Menway Holding prévoit la mise en place d’un PRA (Plan de reprise de l’activité) en cas d’indisponibilité des serveurs du siège (incendie, inondation…) au second semestre 2018.

4.4 Durée de conservation des données

Les données personnelles sont conservées jusqu’à 2 (deux) ans après le dernier contact avec une personne.

5 Traitement des données à caractère personnel

5.1 Finalité des traitements

a. Les données collectées, mentionnées aux 3.1.a, 3.1.b, 3.1.c, 3.1.e, 3.1.f et 3.1.g, ont pour finalité de remplir une mission de recrutement confiée par un client du groupe Menway ou d’une de ses filiales. Les données mentionnées au 2.1 sont accessibles par l’ensemble des collaborateurs du groupe Menway et de ses filiales.

b. Les données collectées, mentionnées au 3.1.h, ont pour finalité de remplir une mission de recrutement confiée par un client du groupe Menway ou d’une de ses filiales. Les données mentionnées au 2.1 sont accessibles uniquement par les collaboratrices et collaborateurs du groupe Menway et de ses filiales, en charge de la mission pour le client.

c. Les données collectées par le groupe Menway ou d’une de ses filiales, mentionnées au 3.1.d, ont pour finalité de remplir une mission d’accompagnement d’un salarié dans le cadre d’une mobilité professionnelle. Les données mentionnées au 2.1 sont accessibles par l’ensemble des collaborateurs du groupe Menway et de ses filiales.

d. Les données collectées par le groupe Menway ou d’une de ses filiales, mentionnées au 3.1.i, ont pour finalité de remplir une mission d’accompagnement d’un ou plusieurs salariés d’un client dans le cadre d’une mobilité professionnelle. Les données mentionnées au 2.1 sont accessibles par l’ensemble des collaborateurs du groupe Menway et de ses filiales.

e. Les données de contact (adresse e-mail), mentionnées aux 3.1.a, 3.1.b, 3.1.c, 3.1.d, 3.1.e, 3.1.f 3.1.g et 3.1.i ,peuvent être transférées à la société Menway Holding, à des fins de communication et de transmission d’informations sur le groupe Menway, des questionnaires de satisfaction, des conseils et informations relatifs au marché de l’emploi

f. Les données mentionnées au 3.1.j ne sont accessibles que par la direction de la communication du groupe Menway. Elles ont pour but d’améliorer le service rendu par les sites internet du groupe. Elles sont anonymisées.

5.2 Registre des traitements

La société Menway Holding dispose, pour elle-même et pour l’ensemble des sociétés du groupe, d’un registre de l’ensemble des traitements réalisés. La société Menway Holding le tient à la disposition des instances de contrôle.

5.3 Traitement des données par des sous-traitants

a. Les données d’identité et de contact peuvent être transmises à des sous-traitants dans le but d’aider à la décision. Il peut s’agir de sociétés éditrices de test et d’évaluation des profils. Le client est informé et consent au transfert de ces données.

b. Les données de contact (adresse e-mail) peuvent être transmises à des sous-traitants dans le but d’adresser des e-mails aux personnes, comme mentionné au 5.1.b.

c. Le groupe Menway et ses filiales, s’assurent que ses sous-traitants ou fournisseurs ont une politique de protection des données conforme au RGPD et que les données transmises, ne sont utilisées que par le groupe Menway et ses filiales, ou de manière anonymisée par le sous-traitant dans l’unique but d’effectuer des statistiques quant à l’utilisation de son service.

6 Suppression des données à caractère personnel

a. Le groupe Menway et ses filiales conservent les données personnelles collectées pour une durée maximum de 2 (deux) ans après le dernier contact.

b. Les données conservées numériquement par le groupe Menway et ses filiales sont supprimées automatiquement au terme de 2 (deux) ans après le dernier contact avec le candidat ayant postulé à une offre d’emploi ou le salarié accompagné dans le cadre d’une mobilité professionnelle.

c. Les données conservées physiquement par le groupe Menway et ses filiales sont détruites au terme de 2 (deux) ans après le dernier contact avec le candidat ayant postulé à une offre d’emploi ou le salarié accompagné dans le cadre d’une mobilité professionnelle. Chaque bureau du groupe Menway et de ses filiales dispose de destructeur de papier permettant la destruction des documents contenant des données à caractère personnel.

d. Le groupe Menway et ses filiales garantissent à leurs clients la destruction et la suppression des données d’une personne, dès lors qu’elle en fait la demande.

7 Respect des droits des personnes

7.1 Droits des personnes prévues par la loi et la réglementation en vigueur

Le RGPD et la loi en vigueur en France permettent à chacun d’exercer ses droits :
– droit à l’information
– droit d’accès
– droit de rectification (droit de modification)
– droit d’effacement (droit à l’oubli)
– droit à la limitation du traitement
– droit à la portabilité des données
– droit d’opposition
– droit à la communication d’une violation des données
– droit à la mort numérique

7.2 Exercice des droits des personnes

a. Chaque personne peut faire exercer ses droits mentionnés au 7.1, en remplissant le formulaire disponible en ligne à l’adresse https://menway.com/droits-donnees-personnelles ou dans l’un des bureaux du groupe Menway ou d’une de ses filiales, en remplissant un formulaire papier prévu à cet effet.

b. Chaque demande est traitée dans un délai de 10 jours ouvrés après la demande. Ce délai peut être porté à 15 jours ouvrés si la demande est effectuée entre les 13 juillet et 16 août ou entre les 15 et 31 décembre.

c. Si une personne demande l’exercice d’un droit sur ses données personnelles, mentionnés au 7.1, et qu’une partie d’entre elles sont stockées par un des clients du groupe Menway ou de ses filiales, le DPO du groupe Menway s’engage à transmettre la demande dans un délai de 10 jours ouvrés après la demande. Ce délai peut être porté à 15 jours ouvrés si la demande est effectuée entre les 13 juillet et 16 août ou entre les 15 et 31 décembre.

d. Si une personne demande l’exercice d’un droit sur ses données personnelles, mentionnés au 7.1, et qu’une partie d’entre elles sont stockées par un des prestataires du groupe Menway ou de ses filiales, le DPO du groupe Menway s’engage à transmettre la demande dans un délai de 10 jours ouvrés après la demande. Ce délai peut être porté à 15 jours ouvrés si la demande est effectuée entre les 13 juillet et 16 août ou entre les 15 et 31 décembre.

7.3 Notification des violations des données personnelles

7.3.1 Notification à l’autorité de contrôle

En cas de violation des données personnelles, lorsque celle-ci est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, le responsable des traitement (DPO) du groupe Menway et de ses filiales en informe l’autorité de contrôle (la CNIL pour la France) dans les meilleurs délais, et si possible, 72 heures au plus tard après en avoir pris connaissance.

7.3.2 Notification aux personnes concernées

En cas de violation des données personnelles, lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement (DPO) du groupe Menway et de ses filiales en informera les personnes concernées par e-mail.

Mise en conformité et suivi des dispositions

a. Le groupe Menway s’est doté, pour l’ensemble de ses sociétés, d’un Data Protection Officer (DPO), salarié de la société Menway Holding. Une adresse e-mail de contact a été créée et est présentée sur l’ensemble des sites du groupe Menway, mentionnés au 1.2.

b. Le groupe Menway dispose d’un comité stratégique IT qui pilote le déploiement de nouveaux projets digitaux pour le groupe et ses filiales. Menway engage, pour tous ses projets, une politique de privacy by-design, c’est à dire que la protection des données personnelles est prise en compte dès la conception du projet. Le DPO du groupe Menway s’en assure pour chacun des nouveaux projets du groupe ou de l’une de ses filiales.

c. L’ensemble des collaboratrices et collaborateurs des sociétés du groupe Menway sont sensibilisés au sujet de la protection des données personnelles. Le groupe s’est doté d’une charte, pour le respect de la protection des données personnelles et des procédures de confidentialité en vigueur dans le groupe.

V 1.0 – 25 mai 2018