• Vous visualisez une version traduite automatiquement de ce site web
Français
Français English (UK) العربية 简体中文 繁體中文 Italiano Português do Brasil Español Español de México 日本語 한국어 Русский Deutsch Türkçe
Brochure
Contactez nous
Contactez nous
Politiques

Politique de protection des données RGPD

Objectif

Malvern International s'engage à mener ses activités conformément à toutes les lois et réglementations applicables en matière de protection des données et en accord avec les normes les plus élevées de conduite éthique.

Cette politique énonce les comportements et normes attendus des employés et des tiers Malvern International concernant la collecte, l'utilisation, la conservation, le transfert, la divulgation et la destruction des Données Personnelles appartenant à toute Personne Concernée.

Les données personnelles sont toute information qui “ se rapporte ” à une personne physique identifiable. Les données personnelles sont soumises à certaines protections légales et autres réglementations qui imposent des restrictions sur la manière dont les organisations peuvent traiter les données personnelles. Malvern International est responsable de garantir la conformité aux exigences de protection des données énoncées dans la présente politique. Le non-respect peut exposer Malvern International à des plaintes, des actions réglementaires, des amendes et/ou une atteinte à sa réputation. Une action délibérée visant à enfreindre cette politique peut également constituer une infraction pénale.

Toute violation de cette politique sera traitée sérieusement par Malvern International et pourra être considérée dans le cadre de la procédure disciplinaire. Pour faciliter la compréhension de cette politique, la terminologie suivante est expliquée ci-dessous :

Un responsable du traitement des données est une entreprise qui détermine quand, pourquoi et comment traiter les données personnelles. En tant que responsable du traitement des données, l'entreprise est chargée d'établir des pratiques et des politiques conformes aux données
loi de protection. Nous sommes le Responsable du traitement de toutes les Données personnelles relatives au personnel de notre Société et des Données personnelles utilisées dans le cadre de nos activités à nos propres fins commerciales.

Catégorie spéciale signifie: toute donnée personnelle comprenant des détails sur : l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques, les données relatives à la santé, au sexe, à l'orientation sexuelle ou à la vie sexuelle.

Personnel de l'entreprisetous les employés, travailleurs (y compris les contractuels, les travailleurs intérimaires et les consultants), administrateurs, membres et autres (y compris les bénévoles, les stagiaires et les apprentis).

Personne concernée: une personne physique vivante, identifiée ou identifiable, au sujet de laquelle nous détenons des Données personnelles. Les personnes concernées peuvent être des ressortissants ou des résidents de n'importe quel pays et avoir des droits légaux concernant leurs Données personnelles. Il peut s'agir de vous, de vos collègues, de clients et de fournisseurs ou de toute autre personne.

Législation sur la protection des données: couvre toute loi visant à protéger les données personnelles ou à respecter la vie privée d'un individu. La législation actuellement en vigueur est (i) le Règlement Général sur la Protection des Données (“ RGPD ”) qui s'applique lorsque nous ciblons ou vendons à des personnes situées dans un pays de l'UE ou de l'EEE et traitons leurs données personnelles.

Le RGPD du Royaume-Uni et la loi sur la protection des données de 2018, qui s'appliquent à toute personne concernée résidant au Royaume-Uni

La loi sur les données (utilisation et accès) de 2025, qui complète et élargit certains aspects du RGPD du Royaume-Uni et du cadre de protection des données actuel.

Données personnelles: toute information identifiant une Personne Concernée ou information relative à une Personne Concernée que nous pouvons identifier (directement ou indirectement) à partir de ces données.

Violation de données personnelles: toute violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles, de manière accidentelle ou illégale.

Avis de confidentialité (également appelés Avis de Sincérité du Traitement) ou Politiques de Confidentialité : avis distincts énonçant les informations qui peuvent être fournies aux Personnes Concernées lorsque la Société collecte des informations les concernant.

Traitement ou Procédé: toute activité impliquant l'utilisation de Données Personnelles.

Champ d'application de la politique

Cette politique s'applique à toutes les entités Malvern International où les données personnelles d'une personne concernée sont traitées.

Cette politique s'applique à tout traitement de données personnelles sous forme électronique (y compris les courriels et les documents créés avec des logiciels de traitement de texte) ou lorsqu'elles sont conservées dans des fichiers manuels structurés de manière à permettre un accès facile aux informations relatives aux personnes.

Application des politiques
La direction doit s'assurer que tous les employéMalvern Internationalresponsables du traitement des données personnelles sont conscients du contenu de cette politique et s'y conforment. De plus, Malvern International s'assurera que tous les tiers engagés pour traiter des données personnelles en leur nom sont conscients du contenu de cette politique et s'y conforment. Des assurances appropriées de cette conformité seront recherchées auprès de tous les tiers, qu'il s'agisse de sociétés ou d'individus, avant de leur accorder l'accès aux données personnelles contrôlées par Malvern International.

Principes de protection des données
Lorsque nous traitons des données personnelles, nous devons respecter les principes de protection des données qui définissent les obligations à suivre. Tous les employés sont censés respecter ces principes énoncés ci-dessous.

  • Légalité, Équité et Transparence – Toutes les données personnelles doivent être traitées de manière légale, équitable et transparente. Cela signifie que nous devons informer le sujet des données du traitement qui sera effectué (transparence) et que celui-ci doit être équitable, nécessaire et proportionné. Tout le personnel est censé veiller à ce que l'utilisation des données personnelles soit raisonnable et attendue. Nous devons tenir un registre écrit des données personnelles que nous traitons et des raisons pour lesquelles nous les traitons. Le responsable de la protection des données est responsable de la tenue de ce registre et procédera à des audits périodiques pour s'assurer que le registre est à jour.
    • Limitation de la finalité – Les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes et ne doivent pas être traitées ultérieurement d'une manière incompatible avec ces finalités. Cela signifie que nous devons spécifier exactement à quoi serviront les données personnelles collectées et limiter le traitement de ces données personnelles à ce qui est nécessaire pour satisfaire la finalité spécifiée. La finalité pour laquelle les données personnelles sont collectées et traitées sera indiquée dans les avis de confidentialité pertinents. S'il est nécessaire d'utiliser des données personnelles à une nouvelle finalité, le responsable de la protection des données doit en être informé et tout avis doit être suivi pour assurer la conformité continue. Si la nouvelle finalité est déjà couverte par l'un de nos avis de confidentialité, il n'est peut-être pas nécessaire de la mettre à jour ; cependant, lorsqu'il est nécessaire de mettre à jour notre avis de confidentialité avant que la nouvelle activité n'ait lieu, cela doit être fait dans les meilleurs délais.
    • Minimisation des données – Les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Cela signifie que Malvern International ne doit pas conserver de données personnelles au-delà de ce qui est requis.
    • Exactitude – Les données personnelles doivent être exactes et tenues à jour. Cela implique que Malvern International doit mettre en place des processus pour identifier et traiter les données personnelles obsolètes, incorrectes et redondantes. Tout le personnel est responsable de garantir l'exactitude des registres dans ses domaines de travail.
    • Limitation de la durée de conservation – Les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées. Cela signifie que Malvern International doit, dans la mesure du possible, stocker les données à caractère personnel d'une manière qui limite ou empêche l'identification de la personne concernée. En tant qu'organisation, nous devons nous assurer que nous ne conservons les données à caractère personnel que pendant la durée nécessaire. Cela signifie que nous devons suivre les meilleures pratiques de gestion des documents et supprimer les données lorsque nous n'avons plus de raison de les conserver. Le délégué à la protection des données et les membres de l'équipe de direction sont responsables de la mise en place de processus de gestion des documents, y compris une politique de conservation des documents.
      calendrier qui indique les données personnelles que nous détenons et combien de temps nous les conservons avant qu'elles ne soient examinées pour leur pertinence ou supprimées lorsque nécessaire.
    • Intégrité et confidentialité – Les données personnelles doivent être traitées d'une manière qui assure une sécurité appropriée des données personnelles, y compris la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels. Malvern International doivent utiliser des mesures techniques et organisationnelles appropriées pour garantir que l'intégrité et la confidentialité des données personnelles sont maintenues à tout moment. Tout le personnel est responsable de s'assurer qu'il suit les politiques ou les exigences de processus conçues pour protéger la sécurité et la confidentialité des données. Le personnel ne doit pas tenter de contourner les contrôles de sécurité mis en place à cet effet.
    • Tous les membres du personnel ont un rôle clé à jouer dans la protection de la sécurité de nos données, en particulier le personnel :
      • ne doivent pas partager leur Malvern International mot de passe ou leurs identifiants avec qui que ce soit.
      • ne doit pas partager, télécharger ou transmettre des données concernant Malvern International à des tiers, sauf si cela est une exigence directe de leur rôle.
      • ne doit pas désactiver, ou tenter de désactiver, toute disposition antivirus ou contrôle de sécurité sur les systèmes ou ordinateurs Malvern International.
  • Accountability – Malvern International and its staff are responsible for, and able to demonstrate compliance with legislation.

Collecte de données

Sources de données

Les données personnelles doivent être recueillies directement auprès de la personne concernée, à moins que l'une des conditions suivantes ne s'applique :

  • La nature de l'objectif commercial nécessite la collecte de données personnelles auprès d'autres personnes ou organismes.
  • La collecte doit être effectuée dans des circonstances d'urgence afin de protéger les intérêts vitaux de la personne concernée ou d'éviter une perte ou un préjudice grave à une autre personne.

Si des données personnelles sont collectées auprès d'une personne autre que la personne concernée, celle-ci doit en être informée, à moins que l'une des situations suivantes ne s'applique :

  • La personne concernée avait reçu les informations requises par d'autres moyens.
  • Les informations doivent rester confidentielles en raison d'une obligation de secret professionnel.
  • Une loi nationale prévoit expressément la collecte, le traitement ou le transfert de données personnelles.

Là où la notification à la personne concernée a été jugée requise, la notification doit avoir lieu rapidement, mais au plus tard un mois civil à compter de la première collecte ou de l'enregistrement des données personnelles, au moment de la première communication si elle est utilisée pour communiquer avec la personne concernée, au moment de la divulgation si elle est divulguée à un autre destinataire.

Notification de la personne concernée

Malvern International fournira, lorsque requis par la loi applicable, un contrat, ou lorsqu'elle estimera qu'il est raisonnablement approprié de le faire, aux personnes concernées des informations quant au but du traitement de leurs données personnelles.

Lorsque le responsable du traitement des données est invité à consentir au traitement de ses données personnelles, et lorsque des données personnelles sont collectées auprès du responsable du traitement, toutes les informations appropriées seront fournies, d'une manière qui attire l'attention sur celles-ci, à moins que l'un des éléments suivants s'applique :

  • La personne concernée dispose déjà des informations.
  • Une exemption légale s'applique aux exigences de divulgation et/ou de consentement.
  • La divulgation peut être faite par voie électronique ou par écrit.

Avis de confidentialité du personnel

Malvern International fournira au Personnel de l'Entreprise un avis de confidentialité relatif à la collecte et au traitement de leurs données personnelles.

Malvern International inclura également un avis de confidentialité en ligne destiné aux tiers potentiels autres que le personnel de la société et un ‘ avis relatif aux cookies ’ en ligne satisfaisant aux exigences de la loi applicable.

Profilage et prise de décision automatisée

Malvern International ne s'engage pas actuellement dans le profilage et la prise de décision automatisée. S'il devient nécessaire de s'engager dans le profilage et la prise de décision automatisée, ce ne sera que pour conclure un contrat avec la personne concernée, l'exécuter, ou lorsque la loi l'y autorise. Dans de tels cas, la personne concernée aura la possibilité de :

  • Exprimer leur point de vue
  • Obtenir une explication de la décision automatisée
  • Vérifier la logique utilisée par le système automatisé
  • Compléter le système automatisé avec des données supplémentaires
  • Faire réaliser un examen de la décision automatisée par un humain
  • Contester la décision automatisée
  • Objecter à la prise de décision automatisée effectuée.

Le profilage des décisions automatisées est fortement restreint par le droit à la protection des données et ne peut être effectué qu'une fois qu'une évaluation d'impact relative à la protection des données a été achevée. Le personnel n'est pas autorisé à effectuer des activités impliquant le profilage ou la prise de décisions automatisées sans avoir d'abord demandé l'avis et le soutien du responsable de la protection des données.

Marketing numérique

Malvern International n'enverra du matériel promotionnel ou de marketing direct à aucun contact que par des canaux numériques tels que les téléphones portables, le courrier électronique et Internet lorsque ce matériel est conforme à la loi sur la protection des données. Toute personne associée à Malvern International souhaitant mener une campagne de marketing numérique sans obtenir le consentement préalable du sujet de données doit d'abord la faire approuver par le responsable de la protection des données.

Lorsque le traitement des données personnelles est approuvé à des fins de marketing numérique, la personne concernée doit être informée dès le premier contact qu'elle a le droit de s'opposer, à tout moment, au traitement de ses données à ces fins. Si la personne concernée formule une objection, le traitement de ses données personnelles lié au marketing numérique doit cesser immédiatement et ses coordonnées doivent être conservées sur une liste de blocage comportant un enregistrement de sa décision de retrait, plutôt que d'être complètement supprimées.

Il convient de noter que lorsqu'une activité de marketing numérique est réalisée dans un contexte ‘ interentreprises ’ (business to business), il n'est pas légalement requis d'obtenir une indication de consentement pour réaliser du marketing numérique auprès de particuliers, à condition qu'ils aient la possibilité de refuser (opt-out).

Conservation des données
Afin de garantir un traitement équitable, les données personnelles ne seront pas conservées par Malvern International plus longtemps que nécessaire au regard des finalités pour lesquelles elles ont été initialement collectées, ou pour lesquelles elles ont été ultérieurement traitées.

La durée de conservation des données personnelles par Malvern International est décrite à l'Annexe 1. Celle-ci prend en compte les exigences légales, contractuelles et commerciales qui influencent les périodes de conservation. Toutes les données personnelles doivent être supprimées ou détruites dès que possible lorsqu'il est confirmé qu'il n'y a plus lieu de les conserver, sauf s'il existe une raison légitime de ne pas le faire. Toute décision de ne pas détruire ou supprimer des données personnelles conformément aux directives de conservation de l'Annexe 1 doit être documentée par écrit et approuvée par le PDG.

Protection des données
Malvern International adoptera des mesures physiques, techniques et organisationnelles pour garantir la sécurité des données personnelles. Cela inclut la prévention de la perte ou des dommages, de l'altération non autorisée, de l'accès ou du traitement, et des autres risques auxquels elle pourrait être exposée de par l'action humaine ou l'environnement physique ou naturel.

Le minimum de mesures de sécurité à adopter par Malvern International est fourni comme suit :

  • Empêcher l'accès non autorisé aux systèmes de traitement de données dans lesquels des données personnelles sont traitées.
  • Empêcher les personnes autorisées à utiliser un système de traitement de données d'accéder à des données à caractère personnel au-delà de leurs besoins et autorisations.
  • Veiller à ce que les données personnelles, lors de leur transmission électronique pendant le transport, ne puissent être lues, copiées, modifiées ou supprimées à l'insu de leur propriétaire.
  • Veillez à ce que des journaux d'accès soient en place pour établir si, et par qui, les données personnelles ont été saisies, modifiées ou supprimées d'un système de traitement de données.
  • Veiller à ce que, dans le cas où le traitement est effectué par un sous-traitant, les données ne puissent être traitées que conformément aux instructions du responsable du traitement.
  • Assurer la protection des données personnelles contre toute destruction ou perte non désirée.
  • Veiller à ce que les données personnelles collectées à des fins différentes puissent être traitées séparément et le soient effectivement.
  • Veiller à ce que les données personnelles ne soient pas conservées plus longtemps que nécessaire.
  • S'assurer que le personnel approprié de l'entreprise est formé aux exigences clés de conformité en vertu de la législation sur la protection des données et à la manière dont il peut garantir la sécurité des données personnelles conformément à la présente politique.

Responsabilités du personnel de l'entreprise

Toute personne qui travaille pour Malvern International ou en son nom a une responsabilité quant à la collecte, au stockage et à la gestion appropriés des données, conformément à cette politique et aux politiques associées.

Le PDG et le partenaire RH sont responsables de la révision de cette politique et de la communication au conseil d'administration des responsabilités de Malvern Internationalen matière de protection des données et des risques liés au traitement des données. Toute question relative à cette politique ou à la protection des données doit être adressée à cette personne.

Le personnel de l'entreprise devrait :

  • n'accéder aux Données Personnelles que s'ils en ont besoin pour le travail qu'ils effectuent pour Malvern International et uniquement s'ils y sont autorisés. Ils ne doivent utiliser les données qu'aux fins licites spécifiques pour lesquelles elles ont été obtenues.
  • ne pas partager une donnée à caractère personnel de manière informelle.
  • Conserver les données personnelles en toute sécurité et ne pas les partager avec des personnes non autorisées.
  • examinent et, si nécessaire ou demandé, mettent à jour régulièrement les données personnelles qu'ils traitent. Cela inclut de nous informer si leurs propres coordonnées changent.
  • ne pas faire de copies inutiles de Données Personnelles et doit conserver et éliminer ces copies en toute sécurité.
  • utilisez des mots de passe forts et ne communiquez vos mots de passe à personne d'autre.
  • devrait verrouiller l'écran de leur ordinateur lorsqu'ils ne sont pas à leur bureau.
  • ne pas sortir de Données Personnelles des locaux de l'Entreprise sans autorisation de votre responsable hiérarchique ou du Responsable des Ressources Humaines.
  • Demandez de l'aide au partenaire commercial RH si vous avez des doutes sur la protection des données ou si vous constatez des domaines de protection ou de sécurité des données que nous pouvons améliorer.

Les données personnelles doivent être chiffrées avant d'être transférées électroniquement à des contacts externes autorisés. Contactez le service informatique pour plus d'informations sur la manière de procéder.

Envisagez d'anonymiser les données ou d'utiliser des clés/codes séparés afin que la personne concernée ne puisse pas être identifiée.

Les données personnelles ne doivent pas être enregistrées sur des ordinateurs personnels ou d'autres appareils n'appartenant pas à Malvern International.

Les données personnelles ne doivent jamais être transférées en dehors de l'Espace Économique Européen, sauf en conformité avec la loi et avec l'autorisation du PDG.

Les tiroirs de bureau et les classeurs doivent être verrouillés. Ne laissez pas de documents contenant des données personnelles traîner.

Les données personnelles doivent être déchiquetées et éliminées en toute sécurité lorsqu'elles ne sont plus nécessaires.

Application des politiques

Toute violation délibérée ou par négligence de cette politique par le personnel de l'entreprise pourra entraîner des mesures disciplinaires à l'encontre de ce personnel, conformément à notre procédure disciplinaire.

Il est une infraction pénale de dissimuler ou de détruire des Données Personnelles qui font partie d'une demande d'accès d'un sujet (voir ci-dessous). Cette conduite constituerait également une faute grave en vertu de notre procédure disciplinaire, qui pourrait entraîner un licenciement.

Il convient de noter que bien que cette politique fournisse des exemples, il ne s'agit en aucun cas d'une liste exhaustive et vous pourrez être informé(e) d'autres règles spécifiques de temps à autre.

Droits des personnes concernées et demandes des personnes concernées

Les personnes concernées (y compris le personnel de l'entreprise) disposent d'un certain nombre de droits concernant leurs données personnelles traitées par Malvern International. Ceux-ci seront détaillés dans la notice de confidentialité pertinente pour la personne concernée. Le personnel de l'entreprise recevra une notice de confidentialité. Les tiers pourront accéder aux notices de confidentialité en ligne ou en demander une copie directement.

Malvern International établira un système pour permettre et faciliter l'exercice des droits des personnes concernées relatifs à :

  • Accès à l'information
  • Objection au traitement
  • Objection à la prise de décision automatisée et au profilage
  • Restriction du traitement
  • Portabilité des données
  • Rectification des données
  • Effacement des données

Si un individu fait une demande relative à l'un des droits énumérés ci-dessus, Malvern International examinera chaque demande conformément à toutes les lois et réglementations applicables en matière de protection des données. Si un membre du personnel reçoit une demande, il ne lui est pas permis de la gérer lui-même et doit en informer le délégué à la protection des données dès que possible.

Les personnes concernées peuvent faire une demande relative à leurs droits tant qu'elle est écrite. Cependant, il est conseillé aux personnes concernées de demander et d'utiliser le formulaire de demande de personne concernée (disponible auprès des RH) et de le soumettre au service des RH. Cela garantira qu'une demande est reçue par les bonnes personnes au sein de Malvern International et qu'elle peut être traitée rapidement.

Les sujets de données seront tenus de vérifier leur identité lorsqu'ils soumettront leur demande. Le non-respect de cette consigne pourrait entraîner la non-réalisation de leur demande.

Les personnes concernées ont le droit d'obtenir les informations suivantes concernant leurs données personnelles :

  • Les finalités de la collecte, du traitement, de l'utilisation et du stockage de leurs données personnelles.
  • La ou les sources des données personnelles, si elles n'ont pas été obtenues auprès de la personne concernée.
  • Les catégories de données personnelles stockées pour la personne concernée.
  • Les destinataires ou catégories de destinataires auxquels les données personnelles ont été ou pourraient être transmises, ainsi que la localisation de ces destinataires.
  • La période de conservation envisagée pour les données personnelles ou la base de calcul de la période de conservation.
  • L'utilisation de toute prise de décision automatisée, y compris le profilage.
  • Le droit de la personne concernée de s'opposer au traitement de ses données à caractère personnel, d'introduire une réclamation auprès de l'autorité de contrôle de la protection des données, de demander la rectification ou l'effacement de ses données à caractère personnel, de demander la limitation du traitement de ses données à caractère personnel.

Toutes les demandes d'accès ou de rectification de données personnelles doivent être adressées au service des ressources humaines qui enregistrera chaque demande dès sa réception. Une réponse à chaque demande sera fournie dans un délai de 30 jours suivant la réception de la demande écrite du sujet de données. Une vérification appropriée doit confirmer que le demandeur est le sujet de données ou son représentant légal autorisé. Les sujets de données auront le droit d'exiger Malvern International de corriger ou de compléter des données personnelles erronées, trompeuses, obsolètes ou incomplètes.

Si Malvern International ne peut pas répondre à la demande dans les 30 jours, il s'engage à fournir ce qui suit dans le délai imparti :

  • Un accusé de réception de la demande.
  • Toutes les informations trouvées à ce jour.
  • Détails des informations ou modifications demandées qui ne seront pas fournies à la personne concernée, la ou les raisons du refus et les procédures disponibles pour faire appel de la décision.
  • Une date estimée à laquelle toutes les réponses restantes seront fournies (au plus tard 3 mois après la date de soumission de la demande initiale).
  • Une estimation des éventuels frais à payer par la personne concernée (par exemple, lorsque la demande est excessive).
  • Le nom et les coordonnées de la personne à contacter par la personne concernée pour un suivi.

Il convient de noter que des situations peuvent survenir où la communication des informations demandées par une personne concernée divulguerait des données personnelles relatives à une autre personne. Dans de tels cas, les informations devront être occultées ou retenues dans la mesure nécessaire ou appropriée pour protéger les droits de cette personne.

Requêtes des forces de l'ordre et divulgations
Dans certaines circonstances, la communication de données personnelles est autorisée sans la connaissance ou le consentement d'une personne concernée. Tel est le cas lorsque la divulgation des données personnelles est nécessaire à l'une des fins suivantes :

  • La prévention ou la détection du crime.
  • L'appréhension ou la poursuite des délinquants.
  • L'évaluation ou la perception d'un impôt ou d'un droit.
  • Par ordonnance d'un tribunal ou en vertu d'une règle de droit.

Si Malvern International traite des données personnelles à l'une de ces fins, une exception aux règles de traitement énoncées dans la présente politique peut s'appliquer, mais uniquement dans la mesure où ne pas le faire risquerait de porter préjudice à l'affaire en question.

Formation sur la protection des données

Tous les employés Malvern International ayant accès à des données personnelles verront leurs responsabilités dans le cadre de cette politique exposées lors de leur formation d'intégration. Malvern International dispensera une formation régulière sur la protection des données et des conseils procéduraux à son personnel, et le suivi de cette formation est obligatoire.

Transferts entre les sites Malvern International

Afin que Malvern International puisse mener à bien ses opérations sur ses différents sites, il peut être nécessaire de transférer des données personnelles d'un site à un autre, pour permettre l'accès aux données personnelles depuis un lieu à l'étranger. Si cela se produit, le site qui envoie les données personnelles reste responsable de garantir la protection de ces données personnelles ainsi que le respect des transferts de données en dehors de l'Espace Économique Européen. Tout le personnel doit s'assurer que les données sont transférées en utilisant des moyens officiels et autorisés. Le personnel n'est pas autorisé à partager des données de manière informelle en utilisant des plateformes personnelles telles que WhatsApp ou d'autres services de messagerie instantanée.,

Transferts à des tiers

Malvern International ne transférera des données personnelles à des tiers ou n'autorisera l'accès par des tiers que lorsqu'il sera assuré que les informations seront traitées légitimement et protégées de manière appropriée par le destinataire. Lorsque le traitement par des tiers a lieu, Malvern International identifiera d'abord si, en vertu de la loi applicable, le tiers est considéré comme un responsable du traitement ou un sous-traitant des données personnelles transférées.

Lorsque le tiers est considéré comme un responsable du traitement, un accord approprié sera conclu avec le responsable du traitement pour préciser les responsabilités de chaque partie en ce qui concerne les données personnelles transférées.

Lorsque le tiers est considéré comme un sous-traitant de données, Malvern International s'efforcera de conclure un accord de traitement adéquat avec le sous-traitant de données. L'accord exigera du sous-traitant de protéger les données personnelles contre toute divulgation ultérieure et de ne traiter les données personnelles qu'en conformité avec les instructions de Malvern International. En outre, l'accord exigera du sous-traitant qu'il mette en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles, ainsi que des procédures de notification des violations de données personnelles.

When Malvern International is outsourcing services to a third party, they will identify whether the third party will process personal data on its behalf and whether the outsourcing will entail any third country transfers of personal data. In either case, it will make sure to include adequate provisions in the outsourcing agreement for such processing and third country transfers.

Gestion des plaintes

Les personnes concernées ayant une plainte concernant le traitement de leurs données personnelles doivent être dirigées vers la boîte aux lettres du délégué à la protection des données. gdpr@malvernplc.com

Rapport d'incident

Toute personne suspectant qu'une violation de données personnelles s'est produite en raison du vol ou de l'exposition de données personnelles doit en informer immédiatement le délégué à la protection des données en lui fournissant une description de ce qui s'est passé. La notification de l'incident peut être faite par courriel à gdpr@malvernplc.com

Le délégué à la protection des données enquêtera sur tous les incidents signalés afin de confirmer s'il y a eu ou non une violation de données personnelles. Si une violation de données personnelles est confirmée, le délégué à la protection des données suivra la procédure autorisée pertinente en fonction de la criticité et de la quantité de données personnelles concernées. En cas de violations graves de données personnelles, Malvern International mettra en place et dirigera une équipe d'intervention d'urgence pour coordonner et gérer la réponse à la violation de données personnelles.