Nous avons établi la présente politique afin de témoigner de notre engagement à respecter votre vie privée.

La présente Politique de protection des données personnelles (ci-après appelée la « politique ») explique nos pratiques en matière de confidentialité en ce qui a trait à la collecte, à l’utilisation, à la communication et au transfert de vos données personnelles par Synechron, ses filiales et ses sociétés affiliées (désignées collectivement par les termes « Synechron » ou « nous », « notre », « nos »).

1. À propos de Synechron

« Synechron est un cabinet de conseil mondial alliant créativité et technologies innovantes pour développer des solutions digitales de pointe. Synechron s’appuie sur les technologies évolutives et les stratégies d’optimisation pour couvrir les domaines du service-conseil TI, du Digital, de l’Infonuagique et du DevOps, de la Data, de l’intégration de systèmes et du Génie logiciel, au sein des services financiers et des entreprises technologiques de renom. Les initiatives de recherche et développement menées dans nos FinLabs nous permettent de développer des solutions de modernisation, de la Blockchain et l’intelligence artificielle jusqu’aux modèles de Data science, en passant par la souscription numérique et les applications mobiles. Depuis plus de 20 ans, nous avons gagné de nombreuses récompenses, reconnaissant notre engagement, en tant qu’employeur, envers nos équipes pleines de talents. Synechron compte plus de 14 500 employés répartis dans 44 bureaux et 19 pays sur les principaux marchés mondiaux. »

2. Objectif

• Établir un ensemble de normes de protection de la vie privée et des données personnelles qui régissent des procédures de Synechron de collecte, de stockage et de traitement des données personnelles conformes à la loi.
• Assurer un traitement uniforme des données personnelles dans l’ensemble des entités de Synechron.
• Veiller à ce que les données personnelles soient protégées contre les risques en matière de protection des données.
• Veiller à ce que les données personnelles soient transférées ou traitées d’une manière conforme aux lois et règlements applicables en matière de protection des données.

3. Champ d’application

Cette politique s’applique au traitement des données personnelles sous forme électronique ou autre et s’applique à Synechron, à ses opérations et à ses unités opérationnelles et remplace toute autre politique relative à la protection des données personnelles. Cela signifie que cette politique s’applique à tous les employés, entrepreneurs, partenaires de travail et entreprises exploitées par Synechron et à toute autre société affiliée à Synechron, sous réserve, si c’est le cas, des exemptions mentionnées ci-dessous, qui doivent s’y conformer.

4. Lignes directrices de la politique

• Synechron doit établir les objectifs précis pour lesquels les données personnelles sont collectées et s’assurer que la collecte et le traitement des données personnelles sont effectués d’une manière conforme à ces objectifs déclarés.
• Synechron ne collecte et ne traite que les données personnelles adéquates, pertinentes et dans un champ d’application qui se limite à l’exigence et à la durée nécessaires pour les objectifs déclarés de leur utilisation.
• Les données personnelles sont traitées de manière licite, équitable et en toute transparence, quelle que soit la source des données personnelles collectées.
• Synechron doit utiliser des systèmes et des applications informatiques conformes aux lois et règlements sur la protection des données, y compris les lois et règlements en matière de sécurité applicables au stockage et à la transmission des données personnelles.
• Synechron effectue des études d’impact sur la protection des données conformément aux exigences pertinentes et applicables en matière de confidentialité des données.
• Synechron doit signaler les violations de données rapidement et conformément au processus de notification des violations de données personnelles décrit dans la Politique de notification des violations de données.
• Synechron doit enregistrer, examiner, analyser et signaler les plaintes relatives à la protection des données; et Synechron doit veiller à ce que tous les employés concernés suivent une formation sur la protection des données.

5. Collecte, transfert et traitement des données

Synechron peut collecter, stocker, utiliser et communiquer des renseignements sur des personnes qui sont considérés comme des données personnelles (y compris des renseignements personnels de nature délicate) à des fins légales, explicites et légitimes et pour un traitement ultérieur des données personnelles conforme à ces fins dans le respect de diverses lois applicables sur la protection des données (y compris, Information Technology Act 2000 [IT Act], Information Technology [Reasonable Security Practices and Procedures and Sensitive Personal Data or Information] Rules 2011 [IT Rules], General Data Protection Regulation [GDPR], DPA 2018 Royaume-Uni, Data Protection Act 1998 [É.-U.], California Consumer Protection Act [CCPA], Loi sur la protection des renseignements personnels et les documents électroniques [LPRPDE] Canada, Personal Data Protection Act 2012 [PDPA] [Singapour], Personal Data [Privacy] Ordinance [PDPO] [Hong Kong], Act on Protection of Personal Information [APPI] [Japon]).

Les données personnelles peuvent être traitées à des fins telles que celles-ci, sans que cette liste soit exhaustive :

• L’administration des services relationnels;
• L’atteinte des objectifs opérationnels;
• La réalisation d’une étude de marché;
• La communication des renseignements sur les produits et services que Synechron considère comme intéressants;
• La conformité à toute exigence de la loi, de la réglementation, des associations et des codes que Synechron décide d’adopter;
• À des fins de détection, d’enquête et de contrôle et de prévention de la fraude et d’autres crimes ou fautes professionnelles;
• Aux fins de toute procédure judiciaire, ou en lien avec celle-ci, pour obtenir des conseil juridiques ou pour établir, exercer ou défendre des droits conférés par la loi ou à toute autre fin liée ou accessoire aux objectifs susmentionnés;
• Données personnelles collectées sur le site Web : des Cookies peuvent être utilisés sur le site Web pour suivre le comportement de l’utilisateur; en outre, le nom d’utilisateur, l’adresse, le courriel, le numéro de téléphone peuvent être collectés à des fins de marketing ou de recherche.

Synechron doit mentionner précisément l’objectif et obtenir le libre consentement, si nécessaire, de la personne concernée avant de collecter, de stocker et de traiter des données personnelles.

Synechron n’utilisera pas les données personnelles d’une personne dont elle a le contrôle au-delà du champ d’application pour lequel elles ont été collectées, sans avoir obtenu au préalable le consentement écrit de la personne. Les données personnelles d’une personne ne seront pas fournies ou autrement communiquées à des tiers autres que Synechron, des enquêteurs ou des agents d’application de la loi lorsque le consentement de la personne concernée a été obtenu ou lorsque la communication est exigée par la loi. Synechron peut enregistrer et surveiller les communications électroniques et vocales, dans la mesure où les lois applicables le permettent, afin d’assurer le respect des obligations légales et réglementaires, des politiques internes et des objectifs énoncés ci-dessus dans la présente politique.

Les entités de Synechron peuvent transférer des données personnelles à l’interne ou à des destinataires tiers. Afin que Synechron puisse mener à bien ses opérations dans ses différentes entités, il peut parfois être nécessaire de transférer des données personnelles d’une entité à une autre, ou de permettre l’accès aux données personnelles à partir d’un lieu situé à l’étranger.

Tout transfert de données personnelles à un tiers n’a lieu que si ce tiers garantit un niveau de protection adéquat des données personnelles conformément aux lois applicables en matière de protection des données. Les données seront chiffrées et rendues anonymes si nécessaire.

6. Confidentialité et sécurité

Synechron doit prendre les précautions nécessaires afin de préserver la confidentialité et la sécurité de toutes les données personnelles, notamment en prenant des mesures opérationnelles et organisationnelles pour protéger les données personnelles contre toute destruction ou toute communication accidentelles ou illégales. Ces mesures comprennent la conclusion d’accords écrits visant à protéger les données personnelles avec tous ses fournisseurs et sous-traitants qui utilisent des données personnelles.

En outre, Synechron s’efforce de protéger les renseignements personnels qu’elle conserve ou diffuse afin qu’ils ne soient pas consultés ni obtenus par des personnes non autorisées ni utilisés de manière non autorisée.

7. Accès, correction et suppression des données par la personne concernée

Synechron reconnaît que les personnes concernées ont le droit de demander une copie des données personnelles détenues par Synechron. Si des données personnelles se révèlent incorrectes, la personne concernée a le droit de déposer une demande de modification, de mise à jour ou de suppression, selon le cas. La personne concernée a également le droit de refuser ou de restreindre le traitement de ses données personnelles, conformément à ce que prévoient les lois en vigueur.

Le droit à la portabilité des données procure à la personne concernée le droit de recevoir les données personnelles qu’elle a fournies à Synechron dans un format structuré, couramment utilisé et lisible par machine.

Si Synechron entreprend des opérations ou offre d’autres services qui impliquent le traitement ou la communication de données personnelles au nom d’un de ses clients ou d’une contrepartie, il incombe à ce client ou à cette contrepartie de s’assurer qu’il dispose de toute l’autorité nécessaire pour permettre à Synechron de traiter et de communiquer les données personnelles en conséquence.

Le consentement à la protection de la vie privée peut être retiré par la personne concernée en informant l’autorité compétente au sein de Synechron, comme il est indiqué dans le document sur le processus de révocation de l’accès.

Veuillez noter que nous pourrions vous demander de vérifier votre identité avant de répondre à de telles demandes.

Les données personnelles sont supprimées du système sur demande ou lorsqu’elles ont rempli leur fonction, uniquement après une évaluation complète du respect des obligations légales ou des procédures commerciales applicables.

8. Bureau de la protection des données

Les préoccupations des personnes concernées de même que leurs droits relatifs à l’accès aux renseignements, au refus de traitement, à la prise de décision automatisée et au profilage, à la limitation du traitement, à la portabilité des données, à la rectification des données et à l’effacement des données relèvent d’un bureau interne de protection des données.

Si une personne fait une demande relative à l’un des droits ci-dessus, Synechron examinera chacune de ces demandes conformément à toutes les lois et réglementations applicables en matière de protection des données. Aucuns frais administratifs ne seront facturés pour l’examen et l’exécution d’une telle demande, à moins que celle-ci ne soit jugée de nature inutile ou excessive. Cela prouve l’engagement de Synechron à l’égard de la protection des données et rehaussera l’efficacité des efforts consacrés aux activités de conformité.

9. Formation

Tous les employés doivent être informés de leurs responsabilités en matière de protection des données dans le cadre de leur formation initiale. Une culture de la protection des données et de la vie privée doit être inculquée aux employés par le biais d’une formation régulière afin de continuer à les sensibiliser à ces enjeux.

10. Protection de la vie privée assurée dès la conception

Les contrôles de la confidentialité sont pris en compte lors de la conception et de la mise en œuvre de systèmes ou de processus nouveaux ou existants, sur la base des technologies disponibles, du coût de la mise en œuvre, du champ d’application, du contexte et des finalités de la collecte, du stockage et du traitement des données personnelles.

Synechron met en œuvre des principes de protection des données et des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles.

11. Étude d’impact sur la protection des données

Synechron procède périodiquement à une étude d’impact sur la protection des données qui englobe les éléments suivants :

• Une définition systématique du système ou de l’objectif;
• Une évaluation des risques à l’égard des droits et libertés des personnes concernées;
• Les mesures prises pour faire face aux risques, y compris les garanties, les mesures de sécurité et les mécanismes visant à assurer la protection des données personnelles et la démonstration de celles-ci.

12. Notification des violations

Tout le personnel de Synechron qui traite des données personnelles a la responsabilité de signaler tout incident de violation de données personnelles et toute violation de cette politique; de tels incidents doivent être signalés immédiatement au SIRT en envoyant un courriel à SIRT@Synechron.com ou en utilisant le portail SIRT (https://SIRT.Synechron.com).

13. Responsabilité

Tout le personnel de Synechron qui traite des données personnelles doit prendre des mesures raisonnables de protection des données personnelles. Le Responsable de la protection des données est chargé de faire appliquer la présente politique et d’en assurer le respect.

14. Application

L’application de cette politique et les mesures à prendre en cas de violation par le personnel de Synechron et de ses sociétés affiliées sont obligatoires:

• Toutes les violations doivent être signalées immédiatement au SIRT en envoyant un courriel à SIRT@Synechron.com ou en utilisant le portail SIRT (https://SIRT.Synechron.com)
• Tout membre du personnel de Synechron surpris à violer cette politique fera l’objet d’une mesure stricte prenant en compte des facteurs, tels que la nature de la violation, le degré de dommage causé, etc., et s’expose à une exclusion ou à toute autre action en justice.

15. Définitions

• Synechron désigne et inclut ses sociétés affiliées et groupes d’entités.
• Les sociétés affiliées désignent Synechron Limited, Synechron inc. et Synechron Technologies Private Limited et a) toute personne ou entité qui, actuellement ou à l’avenir, directement ou indirectement, les contrôle, est contrôlée par elles ou est sous contrôle commun, ou b) toute personne morale ou entité qui est acquise, gérée ou exploitée par elles, que ce soit en tant que membre, actionnaire, dans le cadre d’un accord d’exploitation conjointe ou de tout autre lien important. Par « contrôle », on entend, en ce qui concerne une société, le contrôle direct ou indirect de plus de cinquante pour cent (50 %) des droits de vote permettant d’élire les administrateurs de cette société, ou de toute autre entité, le pouvoir de diriger la gestion ou les politiques de gestion de cette entité.
• Les lois et règlements sur la protection des données désignent, dans l’Union européenne, la directive 95/46/CE sur la protection des données et les lois nationales adoptées dans chaque État membre pour mettre en œuvre cette directive, le Règlement général sur la protection des données (RGPD) 2016/679, ainsi que les lois applicables en matière de protection des données et de la vie privée qui existent en dehors de l’UE dans chaque pays. Information Technology Act 2000 (IT Act), Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules 2011 (IT Rules), Data Protection Act 1998 (É.-U.), California Consumer Protection Act (CCPA), Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) Canada, Personal Data Protection Act 2012 (PDPA) (Singapour), Personal Data (Privacy) Ordinance (PDPO) (Hong Kong), Act on the Protection of Personal Information (APPI) (Japon).
• Union européenne – désigne les États membres actuels de l’UE, soit les suivants : Allemagne, Autriche, Belgique, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, Portugal, République tchèque, Roumanie, Slovaquie, Slovénie, Suède.
• On entend par données personnelles toute information sur une personne physique qui permet de l’identifier (« personne concernée »); une personne physique identifiable est une personne qu’il est possible d’identifier, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.
• Par « renseignements personnels » au sens des règles de 2011 (règles de confidentialité) sur les technologies de l’information (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information), on entend tout renseignement relatif à une personne physique qui, directement ou indirectement, combiné à d’autres renseignements dont dispose ou est susceptible de disposer une personne morale, permet d’identifier cette personne.
• Le traitement désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données personnelles ou à des ensembles de données personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.
• Une fin déterminée signifie que nous définissons clairement dès le début les raisons pour lesquelles nous collectons des données personnelles et que nous décrivons avec précision nos objectifs aux personnes concernées.
• Les données ou renseignements personnels de nature délicate au sens des règles de confidentialité— désignent, entre autres, les renseignements suivants : i) un mot de passe; ii) des informations financières telles que les coordonnées d’un compte bancaire, d’une carte de crédit ou de débit ou de tout autre instrument de paiement; iii) un état de santé physique, physiologique et mental; iv) l’orientation sexuelle; v) un dossier et des antécédents médicaux; vi) des renseignements biométriques; vii) tout détail relatif aux clauses susmentionnées fourni à l’organisme pour la prestation de services; et viii) tout renseignement reçu en vertu des clauses susmentionnées par l’organisme pour être traité, stocké ou traité dans le cadre d’un contrat ou autre : à condition que tout renseignement librement disponible ou accessible dans le domaine public ou fourni en vertu de la Right to Information Act, 2005, ou de toute autre loi actuellement en vigueur ne soit pas considéré comme une donnée ou un renseignement personnel de nature délicate aux fins des présentes règles.