POLITIQUE RELATIVE AUX DONNEES A CARACTERE PERSONNEL

1. Préambule – Qui sommes-nous

Le Règlement (EU) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après le « RGPD ») fixe le cadre juridique applicable aux traitements de données à caractère personnel.

Le RGPD renforce les droits et les obligations des responsables de traitements, des sous-traitants, des personnes concernées et des destinataires des données. Il impose notamment que les personnes concernées soient informées de leurs droits de manière concise, transparente, compréhensible et aisément accessible.

Dans le cadre de son activité, le GIE GLD SERVICES, GIE dont le siège social est 52, Avenue du Canada – 35200 Rennes, inscrit au RCS de Rennes sous le numéro 380 855 486 (ci-après la « Société »), et responsable de traitement, met en œuvre les traitements de données à caractère personnel qui sont décrits ci-dessous.

Pour une bonne compréhension de la présente politique il est précisé que :
  • « candidats » : personne physique candidate à un emploi sur le Site https://carrieres.delarte.fr/ animé par la Société l’emploi pouvant être proposé au sein de la Société, des entités du Groupe Le Duff concernées, ou des sociétés exploitant des établissements sous Enseigne du Groupe Le Duff (franchisés) ;
  • « responsable du traitement » : personne physique ou morale qui détermine les finalités et les moyens des traitements de données à caractère personnel définies dans la présente politique. Au titre de cette dernière, le responsable du traitement est la Société ;
  • « sous-traitant » : personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. Il s’agit en pratique des prestataires avec lesquels la Société travaille et qui interviennent sur les données à caractère personnel qu’il traite ;
  • « personnes concernées » : désigne les personnes qui peuvent être identifiées, directement ou indirectement. Elles sont, au titre des présentes, qualifiées de « candidat » ;
  • « destinataires » : désigne les personnes physiques ou morales qui reçoivent communication des données à caractère personnel. Les destinataires des données peuvent donc être aussi bien des destinataires internes que des organismes extérieurs.
2. Objet

La Société met en œuvre et exploite des traitements de données à caractère personnel relatifs aux candidats à des postes présents sur le site https://carrieres.delarte.fr/ proposés au sein de la Société, des entités du Groupe Le Duff concernées, ou des sociétés exploitant des établissements sous Enseigne du Groupe Le Duff (franchisés).

La présente politique a pour objet de satisfaire à l’obligation d’information mise à la charge de la Société et ainsi de formaliser les droits et les obligations des candidats au regard du traitement de leurs données à caractère personnel.

Le traitement de données à caractère personnel peut être géré directement par la Société ou par le biais d’un sous-traitant spécifiquement désigné par lui.

Cette politique est indépendante de tout autre document pouvant s’appliquer au sein de la relation contractuelle entre la Société et les candidats (cookies, contrats commerciaux ou de partenariats, etc…).

3. Principes généraux et engagement

Un traitement n’est mis en œuvre par la Société concernant des données de candidats que s’il porte sur des données à caractère personnel collectées par la Société pour ses services, ou pour les succursales et franchisés des enseignes du Groupe Le Duff ou traitées en relation avec les offres d’emploi de ces entités.

Tout nouveau traitement, modification ou suppression d’un traitement existant sera porté à la connaissance des candidats.

4. Données collectées

DONNÉES COLLECTÉES ET TRAITÉES :
  • Identification : noms / prénoms / civilité / fonction
  • Coordonnées : Téléphone / adresse e-mail / adresse postale 
  • Vie professionnelle : Formation / Expériences professionnelles/ Diplôme / Distinctions / Compte Rendu d’entretien / nom des sociétés employeur / informations sur le parcours professionnel et informations communiquées par le candidat dans le cadre du Curriculum Vitae et la lettre de motivation adressés sur le Site
  • Photo lorsque le droit est accordé
Plus largement, tout information et données personnelles communiquées spontanément dans le cadre de la candidature.

5. Origines des données

La Société collecte les données des candidats à partir des données fournies par le candidat via les fiches ou formulaires électroniques remplis par lui.

La Société informe qu’elle pourra également enrichir le profil des Candidats avec des informations les concernant, à savoir des informations collectées (i) lors d’échanges avec les candidats, qu’ils soient écrits, téléphoniques ou qu’il s’agisse d’entretiens physiques et (ii) depuis les réseaux sociaux professionnels ou depuis toute source d’information publique, lorsque ces informations sont utiles à la gestion de la candidature. 

6. Finalités du traitement

Ces informations font l’objet d'un traitement informatique destiné à la gestion de la candidature. Les données pourront également être intégrées à une CVthèque, qui permettra à la Société de proposer d’autres offres au Candidat, le cas échéant. 

Pour faciliter les recrutements externes et internes la Société a recours au logiciel DigitalRecruiters, édité par la société BANKESS, permettant de diffuser des offres d’emploi, de collecter des candidatures et de les gérer. 

La Société agit en qualité de responsable du traitement des données personnelles communiquées et BANKESS agit en qualité de sous-traitant. 

7. Base légale

Compte tenu de sa finalité, consistant à traiter les données personnelles de candidats répondant à des offres d’emploi et à l’intégration de données sur les candidats au sein de la CVthèque de la Société, le traitement des données personnelles est nécessaire à la poursuite des intérêts légitimes de la Société à savoir la gestion des premiers processus de recrutement, ainsi qu’à l’exécution de mesures précontractuelles pouvant exister entre la Société et les candidats répondant à ses offres d’emploi.

Les traitements décrits dans la présente politique sont nécessaires à l'exécution de mesures précontractuelles prises à la demande du candidat.

8. Destinataires des données

Ces données sont hébergées en France et seront transmises - pour les offres d’emploi proposées par la Société - aux personnes chargées du recrutement au sein de la Société afin de leur permettre d’étudier la candidature.

Les réponses correspondant aux champs munis d'un astérisque sont obligatoires et le défaut de réponse est susceptible de compromettre le suivi de la candidature. Dans les autres cas, elles sont facultatives et sans conséquence pour l'examen du dossier. 

La Société s’assure que les données ne soient accessibles qu’aux destinataires internes ou externes autorisés suivants :
  • selon le cas : mandataires sociaux et salariés de la Société, des entités du Groupe Le Duff, des sociétés exploitant des établissements sous Enseigne du Groupe Le Duff (franchisés, lorsque l’offre d’emploi est relative à un poste proposé par un franchisés notamment),
  • si nécessaire, salariés des prestataires techniques de la Société concourant au fonctionnement du site internet « recrutement.groupeleduff.com » (par exemple service de traduction, prestataire informatique, reprographie, etc…)
  • services chargés du contrôle,
  • les organismes publics, exclusivement pour répondre aux obligations légales de la Société, les auxiliaires de justice, les officiers ministériels,
  • direction de la communication de la Société,
  • direction informatique de la Société.
Lorsque l’offre d’emploi à laquelle vous répondez est proposée par un franchisé, les données lui sont communiquées. Les informations sur ce franchisé (nom de la société, n° SIREN, TVA intracommunautaire, etc…) sont disponibles sur la page accessible  http://www.delarte.fr/restaurants-participants?storeFeature=RRH.

Si le franchisé traite ces données de sa propre initiative, notamment pour vous recontacter ou organiser avec vous différentes étapes de recrutement, le franchisé est seul responsable de ce traitement. 

Le franchisé doit lui-même vous informer des conditions de ce traitement et vous fournir toutes les informations nécessaires (destinataires autres, mesures techniques mise en place, vos droits, etc…) notamment en vous communiquant sa propre politique relative aux données à caractère personnel. La Société n’est en aucun cas responsable du traitement mis en place par le franchisé. Toute demande adressée à la Société relative à un traitement réalisé par le franchisé, par exemple sur les suites d’une candidature proposée par un franchisé, seront adressées par la Société au franchisé, qui répondra directement à la personne concernée.

A l’exception de la communication aux personnes définies ci-dessus, les données à caractère personnel ne feront pas l’objet de communications, cessions, locations ou échanges au bénéfice de quelques tiers que ce soit.

En sa qualité de sous-traitant de la Société, la société BANKESS est autorisée à accéder aux informations personnelles lorsque cela s’avère nécessaire, notamment dans le cadre de ses missions d’administration et de maintenance du site carrières de la Société et de l’outil de gestion des candidatures, mais ne peut communiquer ces données à ses propres sous-traitants sans avoir obtenu préalablement l’accord de la Société. BANKESS peut être amenée à transmettre les données personnelles à une autorité judiciaire, sur réquisition de celle-ci. 

9. Transfert de données à caractère personnel hors UE

Dans le cas où un candidat souhaite remplir un dossier de candidature pour un poste dans un pays situé hors de l’Union Européenne, la Société peut être amenée - si c’est nécessaire dans le cadre de l’examen de ce dossier - à transférer les données à caractère personnel collectées vers des destinataires (au sens défini à l’article 8) situés dans ledit pays.

Lorsque le pays concerné ne bénéficie pas d’une décision d’adéquation (ce qui signifie qu’il offre aux données à caractère personnel un degré de protection équivalent à celui qui est en cours sur le territoire de l’Union Européenne), la Société s’assure dans la mesure du possible que le transfert est encadré par l’une des mesures de garantie appropriées suivantes :
  • des clauses contractuelles types approuvées par la CNIL,
  • l’adhésion à un code de conduite approuvé en vigueur,
  • le respect d’un mécanisme de certification certifié par un organisme agréé,
  • des règles d’entreprises contraignantes approuvées par la CNIL.
DANS LE CAS OU CES MESURES NE POURRAIENT ETRE MISES EN PLACE, LE CANDIDAT EST INFORME DE CE QUE LE TRANSFERT IMPLIQUE DES RISQUES POTENTIELS ELEVES DE VIOLATION DE SES DONNEES PERSONNELLES (PERTE DE DISPONIBILITE, D’INTEGRITE OU DE CONFIDENTIALITE DES DONNEES PERSONNELLES, DE MANIERE ACCIDENTELLE OU ILLICITE) : LE CANDIDAT CONSENT DONC SPECIFIQUEMENT A CE TRANSFERT.

10. Durée de conservation

La durée de conservation des données est définie par la Société au regard des contraintes légales et contractuelles qui pèsent sur elle.

Les données seront conservées au maximum un (1) an après la collecte.

Toutefois, les données permettant d’établir la preuve d’un droit ou d’un contrat, devant être conservées au titre du respect d’une obligation légale, le seront pendant la durée prévue par la loi en vigueur.

Au terme de la durée de conservation définie pour chacune des catégories de données à caractère personnel traitée, et sous réserve des dispositions permettant un archivage strictement nécessaire à l’exercice d’un droit et à la preuve de ce droit pour la durée des délais de prescription applicables ou en vertu des obligations légales auxquelles la Société est soumises, la Société :
  • détruit les données à caractère personnel, ou
  • conserve ces données personnelles sous une forme anonymisée de manière irréversible, de sorte que ces données ne constituent plus des données à caractère personnel au sens de la réglementation applicable.
Il est rappelé aux candidats que la suppression ou l’anonymisation sont des opérations irréversibles et que la Société n’est plus, par la suite, en mesure de les restaurer.

11. Droit d’accès

Les candidats disposent traditionnellement d’un droit de demander à la Société la confirmation que des données les concernant sont ou non traitées.

Les candidats disposent également d’un droit d’accès, ce dernier étant conditionné au respect des règles suivantes :
  • la demande émane de la personne elle-même et est accompagnée d’une copie d’un titre d’identité, à jour ;
  • la demande doit être formulée par écrit à l’adresse suivante : Référent Données Personnelles – Groupe LE DUFF – 52 avenue du Canada 35200 RENNES ou à l’adresse e-mail : vosdonneespersonnelles@delarte.fr
  • toute demande concernant le traitement de vos données par un franchisé en suite d’une offre d’emploi proposée directement par ce franchisé doit lui être adressé directement. L’adresse, pour chaque franchisé, à laquelle vous pouvez adresser votre demande est accessible : http://www.delarte.fr/restaurants-participants?storeFeature=RRH.
Les candidats ont le droit de demander une copie de leurs données à caractère personnel faisant l’objet du traitement auprès de la Société. Toutefois, en cas de demande de copie supplémentaire, la Société pourra exiger la prise en charge financière de ce coût par les candidats.

Si les candidats présentent leur demande de copie des données par voie électronique, les informations demandées lui seront fournies sous une forme électronique d’usage courant, sauf demande contraire.

Les candidats sont informés que ce droit d’accès ne peut porter sur des informations ou données confidentielles ou encore pour lesquelles la loi n’autorise pas la communication.

12. Mise à jour – Actualisation et rectification

L’exercice de ce droit s’exerce auprès de votre interlocuteur habituel, à défaut auprès de la direction en charge de la communication de la Société.

Afin de permettre une mise à jour régulière des données à caractère personnel collectées par la Société, celui-ci pourra solliciter les candidats qui auront la possibilité de satisfaire à ses demandes.

La Société ne pourra se voir reprocher une absence de mise à jour si le candidat n’actualise pas ses données.

13. Droit à l’effacement

Le droit à l’effacement des candidats ne sera pas applicable dans les cas où le traitement est mis en œuvre pour répondre à une obligation légale.

En dehors de cette situation, les candidats pourront demander l’effacement de leurs données dans les cas limitatifs suivants :
  • lorsque les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
  • lorsque la personne concernée retire le consentement sur lequel est fondé le traitement et qu’il n’existe pas d’autre fondement juridique au traitement ;
  • lorsque la personne concernée s’oppose à un traitement nécessaire aux fins des intérêts légitimes poursuivis par la Société et qu’il n’existe pas de motif légitime impérieux pour le traitement ;
  • lorsque la personne concernée s’oppose à un traitement de ses données à caractère personnel à des fins de prospection, y compris au profilage ;
  • lorsque les données à caractère personnel ont fait l’objet d’un traitement illicite.
14. Droit à la limitation

Les candidats sont informés que ce droit n’a pas vocation à s’appliquer dans la mesure où le traitement opéré par la Société est licite et que toutes les données à caractère personnel collectées sont nécessaires à l’exécution du contrat commercial.

15. Droit à la portabilité

La Société fait droit à la portabilité des données dans le cas particulier des données communiquées par les candidats eux-mêmes, sur des services en ligne proposés par la Société et pour les finalités reposant sur le seul consentement des personnes. 

Dans ce cas les données seront communiquées dans un format structuré, couramment utilisé et lisible par une machine.

16. Décision individuelle automatisée

La Société ne procède pas à des décisions individuelles automatisées.

17. Droit post mortem

Les candidats sont informés qu’ils disposent du droit de formuler des directives concernant la conservation, l’effacement et la communication de leurs données post-mortem. La communication de directives spécifiques post-mortem et l’exercice de leurs droits s’effectuent :
  • par courrier électronique à l’adresse : vosdonneespersonnelles@delarte.fr
  • ou par courrier postal à l’adresse suivante : Référent Données Personnelles – Groupe LE DUFF – 52 avenue du Canada 35200 RENNES, accompagné d’une copie signée d’un titre d’identité.
18. Justification – Exercice manifestement excessif de ses droits

Pour l’ensemble des droits mentionnés dont bénéficie le candidat et conformément à la législation sur la protection des données à caractère personnel, le Candidat est informé qu’il s’agit de droits de nature individuelle qui ne peuvent être exercés que par la personne concernée relativement à ses propres informations. Pour satisfaire à cette obligation, l’identité de la personne concernée sera vérifiée.

Il est rappelé que si les demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, la Société pourra :
  • exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou
  • refuser de donner suite à ces demandes.
19. Caractère facultatif ou obligatoire des réponses

Les candidats sont informés sur chaque formulaire de collecte des données à caractère personnel du caractère obligatoire ou facultatif des réponses par la présence d’un astérisque.

Dans le cas où des réponses sont obligatoires, la Société explique aux candidats les conséquences d’une absence de réponse.

20. Droit d’usage

La Société se voit conférer par les candidats un droit d’usage et de traitement de leurs données à caractère personnel pour les finalités définies ci-dessus.

21. Sous-traitance

La Société informe les candidats qu’il pourra faire intervenir tout sous-traitant de son choix dans le cadre du traitement de leurs données à caractère personnel.

Dans ce cas, la Société s’assure du respect par le sous-traitant de ses obligations en vertu du RGPD.

La Société s’engage à signer avec tous ses sous-traitants un contrat écrit et impose aux sous-traitants les mêmes obligations en matière de protection des données que lui. De plus, la Société se réserve le droit de procéder à un audit auprès de ses sous-traitants afin de s’assurer du respect des dispositions du RGPD.

Actuellement en sa qualité de sous-traitant de la Société, la société BANKESS est autorisée à accéder aux informations personnelles lorsque cela s’avère nécessaire, notamment dans le cadre de ses missions d’administration et de maintenance du site carrières de la Société et de l’outil de gestion des candidatures. 

22. Sécurité

Il appartient à la Société de définir et de mettre en œuvre les mesures techniques de sécurité, physique ou logique, qu’il estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite.

Parmi ces mesures figurent principalement :
  • l'utilisation de mesures de sécurité pour l’accès aux locaux (fermeture des bureaux, badges, etc.) ;
  • la sécurité de l’accès à nos postes informatiques et smartphones (code d’accès modifié régulièrement) ;
  • login et password pour toutes nos applications métiers ;
  • la gestion des habilitations pour l’accès aux données (spécificité pour nos services financier et comptable et communication) ;
  • VPN dans le cadre des connexions à distance ;
  • mot de passe complexe pour notre réseau Wi-Fi modifié régulièrement.
Pour ce faire, la Société peut se faire assister de tout tiers de son choix pour procéder, aux fréquences qu’il estimera nécessaires, à des audits de vulnérabilité ou des tests d’intrusion.

En tout état de cause, la Société s’engage, en cas de changement des moyens visant à assurer la sécurité et la confidentialité des données à caractère personnel, à les remplacer par des moyens d’une performance supérieure. Aucune évolution ne pourra conduire à une régression du niveau de sécurité.

En cas de sous-traitance d’une partie ou de la totalité d’un traitement de données à caractère personnel, la Société s’engage à imposer contractuellement à ses sous-traitants des garanties de sécurité par le biais de mesures techniques de protection de ces données et les moyens humains appropriés.

23. Violation des données

En cas de violation de données à caractère personnel, la Société s’engage à le notifier à la Cnil dans les conditions prescrites par le RGPD.

Si ladite violation fait porter un risque élevé pour les candidats et que les données n’ont pas été protégées, la Société :
  • en avisera les candidats concernés ;
  • communiquera aux candidats concernés les informations et recommandations nécessaires.
24. Registre des traitements

La Société dispose d’un registre des traitements.

25. Droit d’introduire une réclamation auprès de la CNIL

Les candidats concernés par le traitement de leurs données à caractère personnel sont informés de leur droit d’introduire une plainte auprès d’une autorité de contrôle, à savoir la Cnil en France, s’ils estiment que le traitement de données à caractère personnel les concernant n’est pas conforme à la règlementation européenne de protection des données, à l’adresse suivante :

Cnil – Service des plaintes :
3, place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07
Tél : 01 53 73 22 22

26. Évolution

La présente politique peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la Cnil ou des usages.

Toute nouvelle version de la présente politique sera portée à la connaissance des candidats par tout moyen choisi par la Société en ce compris la voie électronique (diffusion par courrier électronique ou en ligne par exemple).

27. Pour plus d’informations

Pour toutes informations complémentaires, vous pouvez contacter notre délégué à la protection des données à l’adresse électronique suivante vosdonneespersonnelles@delarte.fr

Pour toute autre information plus générale sur la protection des données personnelles, vous pouvez consulter le site de la Cnil www.cnil.fr