1

PRÉAMBULE

Le Groupe KEYRUS, en tant qu’acteur de la transformation digitale, participe à la construction d’un environnement de travail innovant, vertueux, responsable et transparent.

Nous nous positionnons afin de mettre en place de bonnes pratiques de traitement de vos Données à caractère personnel au sein du Groupe KEYRUS, autant pour nos Collaborateurs que pour nos Candidats.

Nous souhaitons adopter des usages éthiques, en prenant en compte la réglementation en vigueur applicable aux traitements de vos Données à caractère personnel, notamment le RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016) ainsi que la loi n° 78-17 du 6 janvier 1978 (loi I&L) relative à l’informatique, aux fichiers et aux libertés (ci-après la « Réglementation »).

La présente Charte a pour objet d’informer chaque Collaborateur et Candidat sur le traitement de ses Données à caractère personnel lors de la gestion des Ressources Humaines au sein du Groupe KEYRUS.

2

DÉFINITIONS

QUELQUES DÉFINITIONS POUR MIEUX COMPRENDRE CETTE CHARTE !

« Candidat » désigne la personne ayant envoyé une candidature et/ou ayant été contactée par une entité du Groupe KEYRUS ou par l’intermédiaire d’un cabinet de recrutement dans le cadre d’une offre d’emploi.


« Collaborateur » désigne la personne ayant été recrutée par une entité du Groupe KEYRUS, quel que soit son statut.


« Destinataire » désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de vos Données à caractère personnel, qu’il s’agisse ou non d’un tiers.


« Donnée à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable («Personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.


« Groupe KEYRUS » désigne les sociétés Keyrus SA, Kadris Consultants, Keyrus Management, Keyrus Management Régions, Up Génération, Keyrus Capital Markets, Keyrus Biopharma Innovation, Younicorns qui sont Responsables conjoints des Traitements ci-après détaillés.


« Moyens informatiques » désignent le matériel, les fichiers, les programmes, les logiciels et progiciels, l’ensemble des réseaux (local et externe), les serveurs, les systèmes d’information, le courrier électronique, la messagerie instantanée, les espaces de stockage, les outils collaboratifs appartenant aux entités du Groupe KEYRUS.


« Réseau Social d’Entreprise » désigne toute plateforme de communication interne au Groupe KEYRUS. Le Réseau Social d’Entreprise vise à faciliter le travail collaboratif et à fluidifier les échanges entre les Collaborateurs d’une même entreprise ou d’un même groupe.


« RH ou Ressources Humaines » désigne tout service ou membre d’un service participant à la gestion du personnel, du recrutement, de la paie ou des relations avec les instances représentatives du personnel au sein des entités du Groupe KEYRUS.


« Responsable du traitement » désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement ; lorsque les finalités et les moyens de ce Traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du Traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.


« Traitement » désigne toute opération appliquée de manière automatisée ou non aux Données à caractère personnel telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

3

PRINCIPES RELATIFS AU TRAITEMENT DES DONNÉES

Comme rappelé dans le préambule de la présente Charte, le Groupe KEYRUS met tout en oeuvre pour être en conformité permanente avec les principes essentiels du RGPD et assure l’ensemble de ses Collaborateurs et Candidats que les Données à caractère personnel recueillies sont traitées de manière licite, loyale et transparente.


Les Données à caractère personnel sont recueillies à des fins déterminées, explicites et légitimes et le Groupe KEYRUS s’engage à ne pas les traiter à des fins incompatibles avec ces finalités.


Les entités du Groupe KEYRUS respectent le principe de minimisation des données, conformément à l’article 5 c du RGPD c’est-à-dire que seules sont traitées des Données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités ci-après définies.

4

FINALITÉS ET BASES JURIDIQUES DES TRAITEMENTS DE DONNÉES

Vos Données à caractère personnel peuvent également être collectées indirectement auprès de sources externes :

Dans le cadre des procédures de recrutement, certaines Données à caractère personnel, peuvent être obtenues par une source autre que la Personne concernée, notamment des sites d’emploi tels que Monster ou APEC, mais aussi sur des réseaux sociaux comme LinkedIn.


Si certaines de vos Données à caractère personnel sont traitées par de telles entreprises, nous vous invitons à vous référer à leur politique de gestion des données. Le Groupe KEYRUS ne pourra être tenu responsable de toute violation de la Réglementation en vigueur par une de ces sociétés.

5

TYPOLOGIE DE DONNÉES À CARACTÈRE PERSONNEL

Afin de vous permettre de mieux comprendre la présente Charte, veuillez trouver ci-dessous un tableau listant les principales catégories de Données à caractère personnel :

6

DONNÉES A CARACTÈRE PERSONNEL RECUEILLIES

Au regard des finalités et fondements juridiques précédemment définis, le Groupe KEYRUS dispose et traite les Données à caractère personnel suivantes :

À des fins de gestion du recrutement :

  • Données d’identification (nom, prénoms, adresse (postale et email), numéro de téléphone, date de naissance, photo, adresse profil LinkedIn) ;
  • Vie professionnelle (CV, formation, diplôme et copie des diplômes, expérience, lettre de motivation, informations fournies par le Candidat, compte-rendu d’entretiens, date des entretiens, autorisation de travail (oui/non), message pouvant être transmis par le Candidat entre autres sur le site internet du Groupe KEYRUS) ;
  • Vie personnelle (loisir indiqué sur le CV du Candidat) ;
  • Informations d’ordre économique et financier (rémunération actuelle et rémunération souhaitée) ;

Dans le cadre de l’exécution du contrat de travail :

  • Données d’identification (nom, nom marital, prénoms, sexe, date et lieu de naissance, âge, adresse, numéros attribués par les organismes d’assurances sociales, de retraite et de prévoyance, photo (facultative), adresse email, nationalité, références du passeport (uniquement pour les personnels amenés à se déplacer à l’étranger)), identifiants internes.
  • Copie de la carte d’identité ;
  • Photos prises lors d’évènements organisés par le CE ;
  • Type, numéro d’ordre et copie du titre valant autorisation de travail pour les employés étrangers en application de l’article R. 620-3 du Code du travail ;
  • Type de permis de conduire détenu par l’employé et la copie de la carte grise du véhicule du Collaborateur pour le paiement par l’entreprise des indemnités kilométriques ;
  • Vie professionnelle (CV, lieu de travail, numéro d’identification interne, date d’entrée dans l’entreprise, ancienneté, emploi occupé et coefficient hiérarchique, nature du contrat de travail, dates des entretiens d’évaluation, identité de l’évaluateur, compétences professionnelles du Collaborateur, objectifs assignés, résultats obtenus, appréciation des aptitudes professionnelles sur la base de critères objectifs et présentant un lien direct et nécessaire avec l’emploi occupé, observations et souhaits formulés par le Collaborateur, prévisions d’évolution de carrière, sanctions disciplinaires, réalisations professionnelles, agendas professionnels (dates, lieux et heures des rendez-vous professionnels, objet, personnes présentes, documents attachés), tâches aff ectées (identifi cation des personnels concernées, répartition des tâches), messages de la messagerie électronique, livrables du Collaborateur ) ;
  • Données relatives à la gestion de la téléphonie (numéro de téléphone appelé et entrant, service utilisé, opérateur appelé, nature de l’appel (sous la forme : local, départemental, national, international), durée, date et heure de début et de fi n de l’appel, éléments de facturation (nombre de taxes, volume et nature des données échangées à l’exclusion du contenu de celles-ci et coût du service utilisé) numéro de carte SIM, numéro IMEI, code PUK) ;
  • Données des fichiers journaux («logs «) ;
  • Données de connexion (identifi ant et mot de passe) ;
  • Données servant au contrôle de l’utilisation d’internet par les Collaborateurs ;
  • Données servant au contrôle de l’utilisation de la messagerie (outils de mesure de la fréquence, de la taille des messages électroniques, outils d’analyse des pièces jointes, etc.) ;
  • Contenu de la messagerie électronique du Collaborateur ;
  • Validation des acquis de l’expérience (date de la demande de validation, diplôme, titre ou certifi cat de qualifi cation concerné, expériences professionnelles soumises à validation, validation (oui/non), date de la décision) ;
  • Vie personnelle (situation familiale et matrimoniale, enfants à charge, coordonnées des personnes à prévenir en cas d’urgence, éléments ouvrant droits à des congés spéciaux, loisir) ;
  • Données de santé transmises par le Collaborateur Déclarations d’accident du travail et de maladie professionnelle (coordonnées du médecin du travail, date de l’accident ou de la première constatation médicale de la maladie professionnelle, date du dernier jour de travail, date de reprise, motif de l’arrêt (accident du travail ou maladie professionnelle), travail non repris à ce jour) ;
  • Suivi administratif des visites médicales des Collaborateurs (dates des visites, aptitude au poste de travail (apte ou inapte, propositions d’adaptation du poste de travail ou d’affectation à un autre poste de travail formulées par le médecin du travail)) ;
  • Taux d’invalidité, catégorie COTOREP (A,B,C), autres catégories de bénéficiaires de la Loi n° 87-517 du 10 juillet 1987 (invalide pensionné, mutilé de guerre, assimilé mutilé de guerre) ;
  • Eléments de rémunération (régime et base de calcul de la rémunération, nature, taux et base des cotisations sociales, congés et absences donnant lieu à retenues déductibles ou indemnisables ainsi que toute retenue légalement opérée par l’employeur, frais professionnels, mode de règlement, identité bancaire ou postale) ;
  • Formation (diplômes, certificats et attestations, langues étrangères pratiquées, suivi des demandes de formation professionnelle et des périodes de formation effectuées, organisation des sessions de formation, évaluation des connaissances et des formations) ;
  • Elections professionnelles (établissement de la liste électorale (identité des électeurs, âge, ancienneté, collège), gestion des candidatures (identité, nature du mandat sollicité, éléments permettant de vérifi er le respect des conditions d’éligibilité, mandat syndicat (à l’initiative du candidat), le cas échéant appartenance syndicale déclarée par les candidats au premier tour) et publication des résultats (identité des candidats, mandats concernés, nombre et pourcentage de suffrages obtenus, identité des personnels élus et, le cas échéant, appartenance syndicale des élus) ;
  • Réunions des instances représentatives du personnel (convocations, documents préparatoires, procès verbaux) ;
  • Sujétions particulières ouvrant droit à congés spéciaux ou à un crédit d’heures de délégation (telles que l’exercice d’un mandat électif ou représentatif syndical, la participation à la réserve opérationnelle ou aux missions de sapeur-pompier volontaire) ;
  • Dotations individuelles en fournitures, équipements, véhicules et cartes de paiement (gestion des demandes, nature de la dotation, dates de dotation, de maintenance et de retrait, affectations budgétaires) ;
  • Gestion de la restauration (choix du Collaborateur - ticket restaurant ou RIE ) ;
  • Compte-rendu établi par l’administration fiscale en retour de chaque déclaration sociale nominative (DSN) ou déclaration « prélèvement à la source revenus autres » (PASRAU) souscrite par le collecteur qui comporte notamment un identifiant propre, des informations propres à chaque bénéficiaire de revenu versé par le débiteur de la RAS, le numéro d’inscription au répertoire national d’identification des personnes physiques ou un numéro identifiant d’attente attribué par la Caisse nationale d’assurance vieillesse des travailleurs salariés, ou les numéros d’identification provisoire attribués par l’employeur dans le cas où les deux premiers numéros ne sont pas connus, le taux du prélèvement à la source applicable, sauf lorsque s’applique (de plein droit ou sur option du bénéficiaire) le taux proportionnel, les anomalies détectées par l’administration fiscale figurant dans la DSN ou la déclaration PASRAU ayant donné lieu à l’émission du compte-rendu.

7

DURÉE DE CONSERVATION DES DONNÉES

La durée de conservation de vos Données à caractère personnel est déterminée en fonction des délais légaux et réglementaires de conservation propres à chaque type de donnée.


Sauf dispositions légales contraires ou dispositions des tableaux ci-dessous contraires, les Données à caractère personnel concernant les Collaborateurs sont conservées en base active le temps de la période d’emploi de la Personne concernée. Au départ du Collaborateur, les données sont archivées en archive intermédiaire conformément aux délais légaux ou réglementaires. A l’issue de ces délais, les Données à caractère personnel sont détruites.


A titre indicatif et non exhaustif les durées de conservations des principaux documents relatifs à la gestion des ressources humaines et à la vie sociale du Groupe KEYRUS sont les suivantes :

Les Données à caractère personnel relatives à l’exercice des mandats syndicaux et aux mandats des représentants du personnel sont conservées en base active le temps du mandat du Collaborateur puis archivées en archive intermédiaire 6 mois après fin du mandat (Article L2411-5 du Code du travail) avant d’être supprimées.

8

TRAITEMENTS DES DONNÉES COLLECTÉES
PAR DES MOYENS INFORMATIQUES

En travaillant au sein du Groupe KEYRUS, vous êtes quotidiennement amenés à utiliser ses Moyens informatiques (plateformes, Réseaux Sociaux d’Entreprises, applications, logiciels…) qui requièrent votre authentification individuelle et sont susceptibles de traiter vos Données à caractère personnel. Chacun de ces Moyens informatiques dispose de sa propre politique de protection des données, à défaut la présente Charte s’appliquera pour régir le traitement de vos Données à caractère personnel. Il est de la responsabilité du Collaborateur de prendre connaissance de ces documents et de mettre en oeuvre les obligations qui lui incombe de ce fait.


Pour tout Traitement spécifique, notamment en lien avec la sécurité (vidéosurveillance, badge...), l’utilisation d’un Moyen informatique mis à la disposition du Collaborateur ou les dotations individuelles en fournitures et équipements (matériels, logiciels, badges, voitures,…) les Collaborateurs recevront une mention d’information spécifique les informant de la manière dont leurs Données à caractère personnel seront traitées.


Pour plus d’informations sur l’utilisation des Moyens informatiques au sein du Groupe KEYRUS, nous vous encourageons à lire la Charte Informatique de KEYRUS .Vous disposez également du droit d’introduire une réclamation auprès de la CNIL en tant qu’autorité de contrôle.

9

DESTINATAIRES DES DONNÉES

Le Groupe KEYRUS est Responsable du traitement des Données à caractère personnel de ses Collaborateurs et Candidats qu’elle traite. Il s’engage à ne les transmettre qu’aux Destinataires autorisés, soit :

Dans le cadre de la gestion du personnel :

  • Les personnes habilitées chargées de la gestion du personnel et de la gestion des dotations individuelles et des Moyens informatiques ;
  • Les supérieurs hiérarchiques des Collaborateurs concernés, à l’exclusion des données relatives à l’action sociale directement mise en oeuvre par l’employeur ;
  • Les instances représentatives du personnel : après recueil de l’accord exprès des intéressés, coordonnées professionnelles des employés et données strictement nécessaires à leur représentation ;
  • Le comité d’entreprise (ou CSE) sauf opposition du Collaborateur ;
  • Les délégués syndicaux : coordonnées professionnelles des employés après accord formalisé avec l’employeur et recueil de l’accord exprès des intéressés, et données strictement nécessaires à la défense des intérêts des employés ;
  • Les prestataires et organisme de formation ;
  • Les Collaborateurs internes en charge des formations ;
  • Les prestataires assurant les services de restauration ;
  • L’opérateur de télécom pour la gestion de la téléphonie.

Dans le cadre de la gestion de la Paie :

  • Les services chargés de l’administration et de la paie du personnel ;
  • Les services chargés du contrôle financier dans l’entreprise ;
  • Les personnes habilitées chargées de la gestion du personnel ;
  • Les organismes gérant les différents systèmes d’assurances sociales, d’assurances chômage, de retraite et de prévoyance, les caisses de congés payés, les organismes publics et administrations légalement habilités à les recevoir ;
  • Les commissaires aux comptes ;
  • Les organismes financiers intervenant dans la gestion des comptes de l’entreprise et du Collaborateur.

Dans le cadre du recrutement

  • Les services chargés du recrutement ;
  • Les personnes habilitées chargées de la gestion du personnel ;
  • Les Collaborateurs concernés par le recrutement ;
  • Les cabinets de recrutement.

Des prestataires autorisés peuvent également avoir accès à vos Données à caractère personnel dans le cadre des prestations qu’ils peuvent effectuer entre autres en lien avec les solutions logiciels ou les Moyens informatiques utilisés pour traiter vos Données à caractère personnel (maintenance, support, hébergement, sécurité et contrôle des Moyens informatiques,…).


En cas de litige, vos Données à caractère personnel sont susceptibles d’être transmises :

  • Au service légal et, le cas échéant, aux personnes travaillant à la résolution du conflit ;
  • Aux autorités judiciaires en cas d’infraction ;
  • Aux juridictions de l’ordre judiciaire ou administratif, paritaires ou consulaires, formation arbitrale, pour faire établir, exercer ou défendre les droits d’une entité du Groupe KEYRUS ;
  • Aux juridictions de l’ordre judiciaire ou administratif, paritaires ou consulaires, en exécution d’une décision de justice exécutoire opposable à une entité du Groupe KEYRUS ;
  • A toute personne physique ou morale en exécution d’une décision de justice exécutoire opposable à une entité du Groupe KEYRUS ;

Les collaborateurs du groupe KEYRUS peuvent avoir accès à vos données d’identification (nom, prénom, adresse email et numéro de téléphone professionnels, fonction) pour notamment entrer en communication avec vous.


Pour des raisons de service, les sociétés et les membres de leur personnel ayant des relations d’affaires avec le groupe KEYRUS peuvent également avoir communication de vos données d’identification (nom, prénom, adresse email et numéro de téléphone professionnels, fonction).


Par ailleurs, dans le cadre d’un transfert de salariés, VIE ou stage à l’étranger, vos Données à caractère personnel peuvent être transférées vers une entité du groupe KEYRUS en dehors de l’Union européenne située dans un pays tiers n’assurant pas un niveau de protection des données personnelles adéquat selon la Commission européenne. Un tel transfert ne sera effectué que sur la base des garanties appropriées telle que la signature de Clauses contractuelles types.
En cas d’audit ou d’inspection, vos Données à caractère personnel peuvent être communiquées à l’auditeur qu’il soit interne ou externe.
Notre Délégué à la protection des données (DPO), notre RSSI, les personnes habilitées du service Transformation & Organisation et la Direction du Groupe KEYRUS sont également des Destinataires.

10

SÉCURITÉ ET CONFIDENTIALITÉ

Nous mettons en oeuvre toutes les mesures techniques et organisationnelles que le Groupe KEYRUS juge appropriées, conformément à l’article 32 du RGPD afin de garantir la sécurité et la confidentialité de vos Données à caractère personnel.


Nous vérifions que chacun des Destinataires respecte des garanties de sécurité et de confidentialité appropriées.


Il appartient au Collaborateur de respecter ses obligations en matière de sécurité, et notamment de mettre en oeuvre les dispositions de la Charte Informatique de KEYRUS. Pour plus d’informations concernant la sécurité des données, nous vous invitons à contacter notre DPO.

11

TRANSFERT VERS UN PAYS TIERS

Dans des cas spécifiques tel qu’un transfert de salariés, une expatriation, un VIE ou un stage à l’étranger, vos Données à caractère personnel peuvent être transférées vers une entité du groupe KEYRUS située dans un pays tiers n’assurant pas un niveau de protection des données personnelles adéquat selon la Commission européenne. Dans ce cas, le Groupe KEYRUS s’engage à prendre toutes les garanties appropriées conformément au RGPD, telle que la signature de Clauses contractuelles types.


Dans le cadre de la gestion de la téléphonie, notre opérateur de télécom stocke (ou confie le stockage à un prestataire de confiance) les Données à caractère personnel que nous lui communiquons dans l’Union Européenne. Certaines données peuvent être accessibles depuis les Etats-Unis, par des partenaires ayant adhéré à l’accord Privacy Shield.


Dans le cadre de l’utilisation de la plateforme de formation MYKLX, vos Données à caractère personnel sont transférées à notre prestataire qui se situe en Israël. Ce transfert est fondé sur une décision d’adéquation de la Commission européenne.


En cas de transfert de vos Données à caractère personnel vers un Destinataire situé dans un Etat non membre de la Communauté européenne, des garanties appropriées seront mises en place, conformément aux dispositions du RGPD et le Groupe KEYRUS vous en informera par tout moyen.


Pour plus d’information, vous pouvez contacter notre DPO.

12

DROITS DES PERSONNES CONCERNÉES

Selon la réglementation en vigueur applicable au Traitement de Données à caractère personnel, vous disposez d’un droit d’accès, d’opposition, de rectification, d’effacement et de limitation du Traitement, le cas échéant.

Vous pouvez prendre une connaissance complète de ces droits et des moyens de les exercer en envoyant vos questions et/ou vos requêtes à notre Délégué à la protection des données (DPO) par :

  • Courrier à KEYRUS SA – 155 rue Anatole France – 92300 LEVALLOIS-PERRET, en indiquant en objet « Données personnelles »
  • Mail à KEYRUS.DataProtection@KEYRUS.com

Celui-ci vous répondra dans les meilleurs délais.


Notre opérateur de télécom est Responsable du traitement de vos Données à caractère personnel en lien avec les services de communication électronique. Néanmoins, Il convient d’adresser vos questions et/ou vos requêtes à notre DPO.


Vous disposez également du droit d’introduire une réclamation auprès de la CNIL en tant qu’autorité de contrôle dont l’adresse actuelle est : 3 place de Fontenoy, 75007 Paris.

13

NULLITÉ DE CLAUSE

Si une ou plusieurs stipulations de la présente Charte sont tenues pour non valides ou déclarées comme telles en application d’une loi ou d’un autre texte législatif ou à la suite d’une décision définitive d’une juridiction compétente, les autres stipulations garderont toute leur force et leur portée.

14

ÉVOLUTION DE LA CHARTE

La Charte pourra être modifiée par la Direction de KEYRUS afin de tenir compte des recommandations de la CNIL, des évolutions relatives à la loi, de la jurisprudence, des techniques informatiques et plus généralement en fonction de toute évolution des technologies de l’information et de la communication.