La confidentialité de vos données nous est importante, et Bluefin le prend très au sérieux.

Cliquez ici afin de la télécharger et de lire notre Politique de Confidentialité.

Politique de Confidentialité
v2.0_14/05/18
Bluefin Trading Ltd. s’engage à être transparent quant aux méthodes de collecte et l’utilisation des données personnelles, et afin d’être en règle avec la législation concernant la protection des donnnées. Cet énoncé définit son engagement envers la protection des données. Il s’applique aux données personnelles des clients, aux fournisseurs, contacts, partis tiers et autres données personnelles manipulées à des fins commerciales. Les données personnelles de candidats à l’emploi, d’employés, de contractuels, de stagiaires ou d’anciens employés, réferré en tant que données personnelles liées aux RH , est protégée par notre Politique de Protection des Données RH. La formulation dans cet énoncé reflète des pré-requis du Règlement Général sur la Protection des Données (RGPD), qui est entré en effet au 25 mai 2018.

Bluefin a désigné un Gestionnaire des Données comme responsable de la protection des données. Les questions concernant cette déclaration ou les demandes d’informations complémentaires doivent être adressées
au Gestionnaire des Données, Bluefin Trading Ltd, Keelham Farm, Hebden Bridge, HX7 8TG.

1. Interprétation
Prise de décision automatisée (ADM): lorsqu’une décision est prise qui repose uniquement sur le traitement automatisé (y compris le profilage) produisant des effets juridiques ou affectant de manière significative un individu. Le GDPR interdit la prise de décision automatisée (sauf si certaines conditions sont remplies), mais autorise le traitement non-automatisé.
Traitement automatisé: toute forme de traitement automatisé de données à caractère personnel consistant à utiliser des données à caractère personnel afin d’évaluer certains aspects personnels relatifs à un individu, en particulier:
d’analyser ou de prédire les aspects concernant les performances de cette personne au travail, sa santé, ses préférences, intérêts, fiabilité, comportement, emplacement ou mouvements. Le profilage est un exemple de système automatisé
Traitement.
Organisation Bluefin Trading Ltd
Consentement: accord qui doit être donné librement, spécifiquement, de manière informée et afin d’être une indication sans ambiguïté des souhaits de la personne concernée par lesquels, par une déclaration ou par une action positive, qui signifie un accord sur le traitement des données personnelles les concernant.
Contrôleur de Données: la personne ou l’organisation qui détermine quand, pourquoi et comment traiter les données personnelles. Il est responsable de l’établissement de pratiques et de politiques conformes au RGPD. Nous sommes le Contrôleur de Données de toutes les données personnelles utilisées dans notre entreprise à des fins commerciales.
Sujet de données: une personne vivante, identifiée ou identifiable à propos de laquelle nous détenons des données personnelles.
Les personnes concernées peuvent être des ressortissants ou des résidents de n’importe quel pays et avoir des droits légaux en matière de
données personnelles.
Évaluation de la confidentialité des données (DPIA): évaluations utilisées pour identifier et réduire les risques dans le traitement des données. La DPIA peut être réalisée dans le cadre du Privacy by Design et doit être réalisée pour tous les principaux programmes ou systèmes au sein de l’entreprise impliquant le traitement de données à caractère personnel.
EEE: les 28 pays de l’UE et l’Islande, le Liechtenstein et la Norvège.
Consentement explicite: consentement qui nécessite une déclaration très claire et spécifique.
Règlement Général sur la Protection des Données (RGPD): le règlement général sur la protection des données. Les données personnelles sont
soumises aux garanties juridiques précisées dans le RGPD.
Données à caractère personnel: toute information identifiant une personne concernée ou une information relative à une personne concernée
que nous pouvons identifier (directement ou indirectement) à partir de ces données, seules ou en combinaison avec d’autres identifiants que nous possédons ou auxquels nous pouvons avoir un accès raisonnable. Les données personnelles comprennent les données personnelles sensibles et les données personnelles pseudonymisées, mais excluent les données anonymes ou les données dont l’identité d’un individu a été retiré définitivement. Les données personnelles peuvent être factuelles (par exemple, une
adresse e-mail, lieu ou date de naissance) ou un avis sur les actions ou les comportements de cette personne.

Violation des données personnelles: tout acte ou omission compromettant la sécurité, la confidentialité, l’intégrité ou la disponibilité des données personnelles ou les protections physiques, techniques, administratives ou organisationnelles que nous ou nos tiers fournisseurs de services avons mis en place pour les protéger. La perte, ou l’accès non-autorisé, la divulgation ou l’acquisition de données personnelles sont une violation de données personnelles.
Privacy by Design: mise en œuvre des mesures techniques et organisationnelles appropriées de manière efficace afin d’assurer le respect du RGPD.
Avis ou déclarations de confidentialité: avis séparés indiquant les informations pouvant être fournies aux personnes concernées lorsque l’organisation collecte des informations à leur sujet.
Traitement ou processus: toute activité impliquant l’utilisation de données personnelles. Cela comprend l’obtention, l’enregistrement ou la conservation des données, ou la réalisation de toute opération ou ensemble d’opérations sur les données, y compris l’organisation, la modification, la récupération, l’utilisation, la divulgation, l’effacement ou la destruction des données. Le traitement comprend également la transmission ou le transfert de données à caractère personnel à des tiers.
Pseudonymisation: remplacer les informations identifiant directement ou indirectement un individu avec un ou plusieurs identifiants artificiels ou pseudonymes, de sorte que la personne à laquelle les données se rapportent ne puisse être identifiée sans l’utilisation d’informations supplémentaires qui doivent être conservées séparément et en toute sécurité.
Politiques connexes: les politiques, les procédures opérationnelles ou les processus de l’organisation liés à la présente déclaration de confidentialité et conçus pour protéger les données personnelles.
Données personnelles sensibles: informations révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou similaires, l’appartenance à un syndicat, l’état de santé physique ou mental, la vie sexuelle, l’orientation sexuelle, les données biométriques ou génétiques et les données personnelles en rapport avec des infractions pénales et des condamnations.

2. Portée
Nous reconnaissons que le traitement correct et licite des données à caractère personnel maintiendra la confiance dans l’organisation et assurera la réussite des opérations commerciales. Protéger la confidentialité et l’intégrité des données personnelles est une responsabilité essentielle que nous prenons au sérieux en tout temps.

Le responsable des données est responsable de la supervision de la présente déclaration de confidentialité et, le cas échéant, de l’élaboration de politiques et de directives connexes. Veuillez contacter le responsable des données pour toute question sur le fonctionnement de la présente déclaration de confidentialité ou du RGPD ou si vous craignez que cette déclaration de confidentialité ne soit pas respectée.

Nous adhérons aux principes relatifs au traitement des données personnelles énoncés dans le RGPD, qui exigent que les données personnelles soient:

(a) Traitées légalement, équitablement et en toute transparence (licéité, équité et transparence).
(b) Collectées uniquement à des fins spécifiées, explicites et légitimes (limitation de la finalité).
(c) Adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités pour lesquelles elles sont traitées (minimisation des données).
(d) Précises et, le cas échéant, mises à jour (exactitude).
(e) Ne soient pas conservées sous une forme permettant l’identification des personnes concernées plus longtemps qu’il n’est nécessaire aux fins pour lesquelles les données sont traitées (limitation du stockage).
(f) Traitées de manière à assurer sa sécurité en utilisant les mesures techniques et organisationnelles appropriées pour se protéger contre les traitements non-autorisés ou illicites et contre les pertes, destructions ou dommages accidentels (sécurité, intégrité et confidentialité).
(g) Non-transféré vers un autre pays sans que des garanties appropriées soient en place (limitation du transfert).
(h) Mises à la disposition des personnes concernées autorisées à exercer certains droits sur leurs données personnelles (droits et demandes de la personne concernée).

Nous démontrerons le respect des principes de protection des données énumérés ci-dessus (responsabilité).

3. Légalité, équité, transparence

3.1 Légalité et équité

Les données personnelles seront traitées de manière licite, équitable et transparente en ce qui concerne le sujet de données. Nous ne collecterons, traiterons et partagerons vos données personnelles que de manière loyale, licite et à des fins spécifiques. Le RGPD limite nos actions concernant les données personnelles à des fins légales déterminées. Ces restrictions ne visent pas à empêcher le traitement, mais à garantir que nous traitons les données à caractère personnel équitablement et sans nuire à la personne concernée.

Le RGPD autorise le traitement à des fins spécifiques, dont certaines sont décrites ci-dessous:
a) lorsque la personne concernée a donné son consentement;
(b) si le traitement est nécessaire à l’exécution d’un contrat avec la personne concernée;
(c) respecter nos obligations légales en matière de conformité;
(d) protéger les intérêts vitaux de la personne concernée;
(e) poursuivre nos intérêts légitimes à des fins où ils ne sont pas ignorés car le traitement porte atteinte aux intérêts ou aux libertés et droits fondamentaux des personnes concernées. Les objectifs seront définis dans les avis de confidentialité applicables.

Nous identifions et documentons le fondement juridique utilisé pour chaque activité de traitement.

3.2 Consentement

Nous ne traiterons les données à caractère personnel que sur la base d’une ou plusieurs des bases légales énoncées dans le RGPD, parmi lesquelles le consentement. Une personne concernée consent au traitement de ses données personnelles si elle indique clairement son accord, soit par une déclaration, soit par une action positive. Le consentement nécessite une action affirmative, il est donc peu probable que le silence, les cases pré-cochées ou l’inactivité soient suffisants. Si le consentement est donné dans un document qui traite d’autres questions, il sera séparé des autres sujets. Les personnes concernées peuvent se soustraire à leur consentement au traitement à tout moment et le retrait sera rapidement respecté. Le consentement peut avoir besoin d’être actualisé si nous avons l’intention de traiter des données à caractère personnel dans un but différent et incompatible qui n’a pas été divulgué lorsque la personne concernée a d’abord donné son consentement.

À moins que nous ne puissions compter sur une autre base légale de traitement, un consentement explicite sera requis pour le traitement des données à caractère personnel sensibles, pour la prise de décision automatisée et pour les transferts de données transfrontaliers. Habituellement, nous nous baserons sur une autre base juridique (et ne nécessiterons pas de consentement explicite) pour traiter les données sensibles. Si un consentement explicite est requis, nous en informerons la personne concernée.

Nous conserverons des enregistrements de tous les consentements afin de pouvoir démontrer la conformité aux exigences de consentement.

3.3 Transparence (notification des personnes concernées)

Le RGPD exige des contrôleurs de données qu’ils fournissent des informations détaillées et spécifiques aux sujets de données. Chaque fois que nous collectons des données à caractère personnel directement auprès de personnes concernées, y compris à des fins de ressources humaines ou d’emploi, nous fournirons à la personne concernée toutes les informations requises par le RGPD, y compris l’identité du responsable du traitement, comment et pourquoi nous allons utiliser, les traiter, les divulguer, les protéger et conserver ces données personnelles.

Lorsque des données personnelles sont collectées indirectement (par exemple, auprès d’une tierce partie ou d’une source accessible au public), nous fournirons à la personne concernée toutes les informations requises par le GDPR dès que possible après la collecte / la réception des données. Nous vérifierons que les données personnelles ont été collectées par le tiers conformément au GDPR et sur une base qui envisage le traitement que nous proposons de ces données personnelles.

4. Limitation de la finalité

Les données personnelles ne seront collectées qu’à des fins spécifiées, explicites et légitimes. Elles ne seront pas traitées ultérieurement de manière incompatible avec ces objectifs. Nous n’utiliserons pas les données personnelles à des fins nouvelles, différentes ou incompatibles de celles qui ont été explicitées lors de leur première acquisition, sauf si nous avons informé la personne concernée des nouvelles fins et si celle-ci a donné son consentement, le cas échéant.

5. Minimisation des données

Les données personnelles seront adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités pour lesquelles elles sont traitées. Notre personnel ne traitera pas les données personnelles pour quelque raison que ce soit sans rapport avec leurs tâches. Lorsque les données personnelles ne sont plus nécessaires pour des
conformément à nos consignes de conservation des données.

6. Précision

Les données personnelles seront précises et, si nécessaire, mises à jour. Elles seront supprimées ou corrigées sans délai si elles sont inexactes. Nous veillerons à ce que les données personnelles que nous utilisons et que nous conservons soient exactes, complètes, mises à jour et pertinentes par rapport à l’objectif pour lequel nous les avons collectées. Nous prendrons toutes les mesures raisonnables pour détruire ou modifier les données personnelles inexactes ou obsolètes.

7. Limite de stockage

Les données personnelles ne seront pas conservées sous une forme identifiable plus longtemps qu’il n’est nécessaire aux fins pour lesquelles les données sont traitées. Nous ne conserverons pas les données personnelles sous une forme permettant l’identification de la personne concernée plus longtemps que nécessaire pour le commerce légitime
à des fins pour lesquelles nous l’avons initialement collecté, notamment pour satisfaire à toute exigence légale, comptable ou en matière de reporting. Nous prendrons toutes les mesures raisonnables pour détruire ou effacer de nos systèmes toutes les données personnelles dont nous n’avons plus besoin conformément aux politiques de conservation de nos archives. Cela implique de demander à des tiers de supprimer ces données, le cas échéant. Nous informerons les personnes concernées de la période pendant laquelle les données sont stockées et comment cette période est déterminée.

8. Intégrité de la sécurité et confidentialité

8.1 Protection des données personnelles

Les données personnelles seront protégées par des mesures techniques et organisationnelles appropriées contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels. Nous élaborerons, mettrons en œuvre et maintiendrons des mesures de protection adaptées à notre taille, à notre portée et à notre activité, aux ressources disponibles, à la quantité de données à caractère personnel que nous possédons ou conservons pour le compte d’autrui et les risques identifiés (y compris le cryptage et la pseudonymisation, le cas échéant). Nous évaluerons et testerons régulièrement l’efficacité de ces garanties afin de garantir la sécurité de notre traitement des données à caractère personnel.

Nous maintiendrons la sécurité des données en protégeant la confidentialité, l’intégrité et la disponibilité des données personnelles, définies comme suit:
(a) La confidentialité signifie que seules les personnes ayant besoin de savoir et autorisées à utiliser les données à caractère personnel peuvent y accéder.
(b) L’intégrité signifie que les données personnelles sont précises et adaptées à la finalité pour laquelle elles sont traitées.
(c) La disponibilité signifie que les utilisateurs autorisés ne peuvent accéder aux données personnelles que lorsqu’ils en ont besoin à des fins autorisées.

8.2 Signaler une violation de données personnelles

Le RGPD exige des responsables de traitement de données qu’ils notifient toute violation de données à caractère personnel à l’autorité de contrôle compétente et, dans certains cas, à la personne concernée. Nous avons mis en place des procédures pour traiter toute violation présumée des données à caractère personnel et nous en informerons les personnes concernées ou tout organisme de réglementation compétent lorsque nous en avons l’obligation légale.

9. Limite de transfert

Le GDPR limite les transferts de données vers des pays extérieurs à l’EEE afin de garantir que le niveau de protection des données accordé aux individus ne soit pas compromis. Nous ne transférerons des données personnelles en dehors de l’EEE que si l’une des conditions suivantes est remplie:

(a) la Commission européenne a rendu une décision confirmant que le pays vers lequel nous transmettons les données à caractère personnel assure un niveau de protection adéquat des droits et libertés des personnes concernées;
(b) des garanties appropriées sont en place;
(c) la personne concernée a donné son consentement explicite au transfert proposé après avoir été informée des risques potentiels, ou
(d) le transfert est nécessaire pour l’une des autres raisons énoncées dans le RGPD, notamment l’exécution d’un contrat entre nous et la personne concernée; intérêt public; établir, exercer ou défendre des actions en justice, ou protéger les intérêts vitaux de la personne concernée lorsque
La personne concernée est physiquement ou juridiquement incapable de donner son consentement, et dans certains cas limités, à notre intérêt légitime.

10. Droits de la personne concernée

Les sujets de données ont des droits quant à la manière dont nous traitons leurs données personnelles. Ceux-ci incluent des droits
à:
a) retirer le consentement au traitement à tout moment;
(b) recevoir certaines informations sur les activités de traitement du contrôleur de données;
(c) demander l’accès à leurs données personnelles que nous détenons;
(d) empêcher l’utilisation de leurs données personnelles à des fins de marketing direct;
(e) nous demander d’effacer les données personnelles si elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ou de rectifier des données inexactes / complètes incomplètes;
(f) restreindre le traitement dans des circonstances spécifiques;
(g) contester un traitement qui a été justifié sur la base de nos intérêts légitimes ou de l’intérêt public;
(h) demander une copie d’un accord en vertu duquel des données personnelles sont transférées en dehors de l’EEE;
(i) s’opposer aux décisions fondées uniquement sur le traitement automatisé, y compris le profilage (ADM);
(j) empêcher tout traitement susceptible de causer des dommages ou une détresse à la personne concernée ou à toute autre personne;
(k) être informés d’une violation de données à caractère personnel susceptible d’entraîner un risque élevé pour leurs droits et libertés;
(l) adresser une plainte à l’autorité de surveillance, et
(m) dans des circonstances limitées, recevoir ou demander que leurs données personnelles soient transférées à un tiers dans un format structuré, couramment utilisé et lisible par machine.

Nous vérifierons l’identité d’une personne qui demande des données en vertu de l’un des droits énumérés ci-dessus.

11. Responsabilité

11.1 Nous mettrons en œuvre les mesures techniques et organisationnelles appropriées de manière efficace afin de garantir le respect des principes de protection des données. Nous disposons des ressources et des contrôles adéquats pour garantir et documenter la conformité au RGPD, notamment:
(a) nommer un responsable dûment qualifié responsable de la confidentialité des données;
(b) la mise en œuvre de la protection de la vie privée dès la conception lors du traitement de données à caractère personnel et la réalisation des AIPP lorsque le traitement présente un risque élevé pour les droits et libertés des personnes concernées;
(c) intégrer la protection des données dans les documents internes;
(d) former régulièrement notre personnel aux questions relatives au RGPD et à la protection des données, y compris les droits de la personne concernée,
Consentement, bases légales, DPIA et violations de données personnelles, et
(e) tester régulièrement les mesures de protection de la vie privée et mener des examens pour évaluer la conformité.

11.2 Tenue de registres

Le RGPD nous oblige à conserver des enregistrements complets et précis de nos activités de traitement de données. Ces enregistrements incluent le nom et les coordonnées du responsable du traitement, des descriptions claires des types de données personnelles, des types de sujets de données, les activités de traitement, les finalités du traitement, les destinataires tiers des données personnelles, les emplacements de stockage, les transferts, les durées de conservation et une description des mesures de sécurité en place.

11.3 Formation
Nous veillerons à ce que tout le personnel ait suivi une formation adéquate lui permettant de se conformer aux lois sur la confidentialité des données.

11.4 Analyse d’impact relative à la protection des données dès la conception et à la protection des données (DPIA)

Nous sommes tenus de mettre en œuvre des mesures de confidentialité dès la conception lors du traitement de données à caractère personnel en mettant en œuvre les mesures techniques et organisationnelles appropriées (telles que la pseudonymisation) de manière efficace, afin de garantir le respect des principes de confidentialité des données. Nous prendrons en compte les éléments suivants:
a) l’état de la technique;
b) le coût de la mise en œuvre;
c) la nature, la portée, le contexte et les finalités du traitement, et
(d) les risques, la probabilité et la gravité des droits et libertés des personnes concernées par le traitement.

Nous mènerons également des DPIA en ce qui concerne le traitement des risques élevés.

11.5 Traitement automatisé (y compris le profilage) et prise de décision automatisée

En règle générale, l’ADM est interdit lorsqu’une décision a un effet significatif juridique ou similaire sur une personne, sauf si:
(a) la personne concernée a explicitement consenti;
(b) le traitement est autorisé par la loi, ou
(c) le traitement est nécessaire à l’exécution d’un contrat ou à la conclusion d’un contrat.

Si certains types de données sensibles sont en cours de traitement, les motifs (b) ou (c) ne seront pas autorisés, mais ces données sensibles pourront être traitées si cela est nécessaire pour un intérêt public substantiel, tel que la prévention de la fraude. Si une décision doit être basée uniquement sur le traitement automatisé (y compris le profilage), les personnes concernées seront informées de leur droit de faire objection. Des mesures appropriées seront mises en place pour protéger les droits, libertés et les droits légitimes et les intérêts de la personne concernée. Nous informerons la personne concernée de la logique impliquée dans la prise de décision ou le profilage, de la signification et des conséquences envisagées, et lui donnerons le droit de demander une intervention humaine, d’exprimer son point de vue ou de contester la décision. Une DPIA sera réalisée avant toute activité de traitement automatisé (y compris le profilage) ou une ADM.

11.6 Marketing direct

Nous offrirons spécifiquement le droit de s’opposer au marketing direct. L’objection d’une personne concernée par le marketing direct sera rapidement prise en compte. Si un client se désiste à tout moment, ses détails seront supprimés dès que possible. La suppression implique de conserver juste assez d’informations pour que les préférences marketing soient respectées à l’avenir.

11.7 Partage des données personnelles

En règle générale, nous ne sommes pas autorisés à partager des données à caractère personnel avec des tiers, sauf si certaines garanties et dispositions contractuelles ont été mises en place. Nous ne partagerons les données personnelles que nous détenons que si le destinataire a un besoin lié à l’emploi de connaître les informations et si le transfert est conforme à toutes les restrictions applicables aux transferts transfrontaliers. Nous ne partagerons les données personnelles que nous détenons avec des tiers, tels que nos fournisseurs de services, si:
(a) ils ont besoin de connaître les informations aux fins de la fourniture des services contractés;
(b) le partage des données à caractère personnel est conforme à la déclaration de confidentialité fournie à la personne concernée et, si nécessaire, que son consentement a été obtenu;
(c) le tiers a accepté de se conformer à la sécurité des données requise;
(d) le transfert est conforme aux restrictions applicables aux transferts transfrontaliers, et
e) un contrat écrit entièrement signé contenant des clauses de tiers approuvées par le GDPR a
été obtenu.

12. Modifications de cette déclaration de confidentialité

Revenez régulièrement pour obtenir la dernière copie de cette déclaration. La présente déclaration de confidentialité ne remplace pas les lois et réglementations applicables en matière de confidentialité des données. »