1.1 La SGA2E (Société de Gestion pour les Agents de l’Eau et de l’Electricité) est une société de gestion d’OPCVM (Organisme de Placement Collectif en Valeurs Mobilières) notamment les Fonds Communs de Placement (FCP). Dans le cadre de ses différentes activités² la SGA2E collecte et traite des Données Personnelles relatives à ses parties prenantes (clients, fournisseurs, prestataires, avocats libéraux, salariés, partenaires commerciaux, etc.).
1.2 En tant qu’organisation qui traite des Données Personnelles, la SGA2E reconnaît qu’il est primordial d’en contrôler la collecte, la conservation, l’utilisation et la destruction afin de se conformer à la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel en Côte d’Ivoire. A ce titre, la SGA2E a désigné un Correspondant à la Protection des Données couramment nommé « Data Protection Officer » (en abrégé « DPO ») pour assurer sa conformité à la règlementation applicable en matière de Protection des Données Personnelles.
1.3 A travers la présente Politique de Protection des Données Personnelles (la « Politique »), la SGA2E s’engage à mettre en œuvre des mesures techniques et organisationnelles permettant de garantir le traitement équitable, transparent, licite et adéquat des Données Personnelles.
1.4 La Politique traduit l’ensemble des engagements pris par la SGA2E en matière de protection des Données Personnelles.
2.1 Autorité de Protection : Autorité administrative indépendante chargée de veiller à la mise en œuvre des traitements des données à caractère personnel conformément aux dispositions des législations relatives à la protection des données à caractère personnel (la loi n°2013-450 du 19 juin 2013 en Côte d’Ivoire).
2.2 Correspondant / Délégué à la Protection des Données (Data Protection Officer, DPO) : Personne en charge de contrôler la conformité aux Législations sur la Protection des Données. Le Délégué à la Protection des Données est associé à toutes les questions relatives à la protection des Données Personnelles, notamment en cas de nouveau projet entraînant la collecte, la conservation et/ou l’utilisation de Données Personnelles. Il assure un rôle de conseil et d’alerte. Il est également l’interlocuteur spécialisé et privilégié des Autorités de Protection compétentes en matière de protection des Données Personnelles et des Personnes Concernées, notamment lorsque ces dernières souhaitent exercer les droits qu’elles détiennent en vertu des Législations sur la Protection des Données.
2.3 Données à Caractère Personnel (DCP) ou Données Personnelles : Toute information sur une Personne Concernée qui l’identifie ou qui permet de l’identifier, éventuellement en conjonction avec d’autres informations détenues. Les Données Personnelles sont définies de manière très large et incluent des éléments tels que le nom, l’adresse géographique, l’adresse électronique (y compris dans un contexte professionnel, les adresses électroniques au format nomprénom@sga2e.ci), l’adresse IP, le numéro de téléphone personnel ainsi que des catégories de données plus sensibles comme l’appartenance syndicale, les données génétiques et les croyances religieuses. Ces types de données plus sensibles appelés « Catégories Particulières de Données Personnelles » bénéficient d’une protection supplémentaire en vertu des Législations sur la Protection des Données
2.4 Catégories Particulières de Données Personnelles : Données Personnelles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques (c’est-à-dire les informations sur les caractéristiques génétiques héritées ou acquises), les données biométriques (c’est-à-dire les informations sur les caractéristiques physiques, physiologiques ou comportementales telles que les images faciales et les empreintes digitales), la santé physique ou mentale, la vie sexuelle ou l’orientation sexuelle et le casier judiciaire. Les Catégories Particulières de Données Personnelles sont soumises à des contrôles supplémentaires par rapport aux Données Personnelles ordinaires.
2.5 Données sensibles : désignent une catégorie particulière de données personnelles; ce sont toutes les données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, la vie sexuelle ou l’orientation sexuelle, la santé, les poursuites, les sanctions pénales ou administratives, les données génétiques, les données biométriques traitées aux fins d’identifier une personne physique de manière unique.
2.6 Traitement des Données Personnelles ou Traitement : Toute opération ou ensemble d’opérations appliquées à des Données Personnelles (par exemple : collecte, éventuellement enregistrement, conservation, consultation ou destruction de Données Personnelles).
2.7 Responsable du Traitement : Le Responsable du traitement de données à caractère personnel est la personne, l’autorité publique, la société ou l’organisme qui, seul ou conjointement avec d’autres, décide de la création du traitement, il en détermine les finalités et les moyens. En pratique, il s’agit généralement de la personne morale (ou son représentant légal) sur laquelle pèse la charge des exigences légales à respecter, notamment les formalités à accomplir auprès de l’Autorité de Protection.
2.8 Sous-Traitant : désigne un tiers extérieur à l’entreprise qui traite les données à caractère personnel pour le compte du Responsable du Traitement.
2.9 Personne Concernée : Les personnes physiques qui peuvent être identifiées, directement ou indirectement, à partir des informations dont dispose la SGA2E. Par exemple, une personne concernée peut être identifiée directement par son nom ou indirectement par son sexe, son emploi et sa société. Les Personnes Concernées englobent l’ensemble des parties prenantes de la SGA2E.
2.10 Législations sur la Protection des Données : désignent en Côte d’Ivoire, l’ensemble des lois et règlements relatifs aux Données Personnelles, notamment la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel. En Europe, le Règlement Général sur la Protection des Données (RGPD, Règlement (UE) 2016/679 du 27 avril 2016) et toutes les lois applicables en matière de collecte, de conservation et d’utilisation des Données Personnelles et de protection de la vie privée et tous les codes de bonnes pratiques applicables émanant d’une Autorité de Contrôle.
3.1 La SGA2E s’engage à uniquement traiter les Données Personnelles de manière licite. Ainsi, pour chaque Traitement mis en œuvre, la SGA2E aura préalablement identifié la base juridique sur laquelle se fonde celui-ci. Cette base juridique est portée à la connaissance des Personnes Concernées lors de la collecte des Données Personnelles.
3.2 Par ailleurs, lorsque la SGA2E collecte, conserve et utilise des Catégories Particulières de Données Personnelles, elle s’assure de respecter les conditions légales supplémentaires requises.
3.3 La SGA2E s’engage également à collecter les Données Personnelles pour des finalités déterminées, explicites et légitimes. En aucun cas, les Données Personnelles collectées ne sauraient être ultérieurement traitées d’une manière incompatible avec les finalités initialement établies.
4.1 Lorsque la SGA2E recueille des Données Personnelles directement auprès des Personnes Concernées, la SGA2E s’engage à les informer des conditions dans lesquelles leurs Données Personnelles sont traitées.
4.2 Ainsi, pour chaque Traitement de Données Personnelles, la SGA2E communique aux Personnes Concernées, à minima, les informations suivantes :
4.3 Si la SGA2E reçoit des Données Personnelles d’une autre source que la Personne Concernée elle-même, cette source informera la SGA2E des conditions dans lesquelles ses Données Personnelles sont traitées. Cette information sera fournie dès que cela sera raisonnablement possible et en tout état de cause dans un délai d’un (1) mois.
4.4 Si la SGA2E modifie la façon dont elle traite les Données Personnelles, la SGA2E s’engage à en informer les Personnes Concernées dans les meilleurs délais.
5.1 La SGA2E s’engage à collecter uniquement les Données Personnelles qui sont strictement nécessaires et pertinentes au regard des finalités poursuivies par les Traitements mis en œuvre. Lors des collectes de Données Personnelles, les données obligatoires et les données facultatives seront clairement identifiées comme telles, permettant ainsi aux Personnes Concernées de conserver la maîtrise sur leurs Données Personnelles.
5.2 La SGA2E veille à ce que les Données Personnelles traitées soient enregistrées avec exactitude, qu’elles soient tenues à jour et qu’elles soient rectifiées ou effacées en cas de nécessité. Cela se traduit par :
6.1 La SGA2E s’engage à conserver les Données Personnelles uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées.
6.2 La SGA2E doit également conserver les Données Personnelles pour respecter les obligations légales auxquelles elle est soumise ou parce qu’elles sont nécessaires à la constatation, l’exercice ou la défense de droits en justice. Dans ce contexte, les Données Personnelles ne seront pas conservées au-delà des durées de conservation légales et des délais de prescriptions applicables.
7.1 La SGA2E s’engage à mettre en œuvre une politique d’habilitation afin de s’assurer que seules les personnes autorisées et ayant une réelle légitimité accèdent aux Données Personnelles collectées et traitées.
7.2 Lorsque la SGA2E fait appel aux services de prestataires (« Sous-traitants ») pour traiter des Données Personnelles en son nom et pour son compte, les Sous-traitants sont soumis au respect d’obligations strictes afin de s’assurer que les Données Personnelles sont traitées de manière sécurisée et conforme. Au sein des engagements contractuels conclus, la SGA2E se réserve notamment le droit de réaliser des audits, afin de s’assurer du respect des obligations par ses Sous-traitants.
7.3 Dans la mesure où la SGA2E procède à des transferts de Données Personnelles vers un pays situé hors de la CEDEAO, la SGA2E s’engage à :
8.1 La SGA2E, qui accorde une grande importance à la sécurité des Données Personnelles, a mis en place des mesures de sécurité techniques et organisationnelles contre tout traitement illégal ou non autorisé, toute perte accidentelle, détérioration, modification ou altération non autorisée de Données Personnelles.
8.2 Les procédures et les mesures de sécurité physiques et logiques mises en place sont adaptées en fonction du degré de sensibilité des Données Personnelles, afin qu’elles soient traitées de manière sécurisée de leur collecte jusqu’à leur destruction.
8.3 A ce titre, la SGA2E dispose d’un Responsable de Sécurité des Systèmes d’Information (RSSI), qui définit et met en œuvre la politique de sécurité.
9.1 La SGA2E s’engage à respecter l’intégralité des droits dont disposent les Personnes Concernées en vertu des Législations sur la Protection des Données. Ainsi, à tout moment, les Personnes Concernées peuvent contacter la SGA2E afin de :
9.2 La SGA2E s’assure qu’elle permet aux Personnes Concernées d’exercer leurs droits en les informant des modalités d’exercice de ces derniers au moment de la collecte des Données Personnelles.
9.3 Toute demande d’exercice de droits doit être adressée au Correspondant à la Protection des Données de la SGA2E en joignant une copie d’une pièce d’identité :
9.4 La SGA2E s’engage à répondre aux demandes dans les meilleurs délais, et en tout état de cause, sans dépasser le délai d’un (1) mois prévu par les Législations sur la Protection des Données, à compter de leur réception. Ce délai pourra cependant être prolongé de deux (2) mois supplémentaires si cela s’avère nécessaire au regard de la complexité et du nombre de demandes reçues.
10.1 La présente version de la Politique a été rédigée et validée par le Correspondant à la Protection des Données de la SGA2E le 25 février 2021. Elle est susceptible d’être modifiée ou aménagée à tout moment, notamment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de l’Autorité de Protection ou des usages.