Politique générale de protection des données
Politique générale de protection des données
Politique Générale de Protection des Données
Version : 1.0
Date de mise à jour : 06.06.2025
Responsable : aurelien@callalto.com
1. Objectif
La présente Politique Générale de Protection des Données (PGPD) formalise les engagements de Alto SAS en matière de sécurité et de confidentialité des données à caractère personnel et des données sensibles ou stratégiques de l’entreprise.
Elle vise à :
Protéger les données personnelles de nos utilisateurs, clients, partenaires et collaborateurs.
Encadrer la sécurité globale des données de l’entreprise (commerciales, techniques, administratives).
Se conformer au Règlement Général sur la Protection des Données (RGPD) et à la loi française Informatique et Libertés.
2. Champ d’application
Cette politique s’applique :
À tous les salariés, dirigeants, prestataires et sous-traitants d’Alto.
À tous les systèmes d’information et moyens de traitement : logiciels, serveurs, cloud, réseaux télécoms, messageries, dispositifs mobiles.
À toutes les données traitées :
Données personnelles (nom, prénom, téléphone, e-mail, données santé, etc.)
Données professionnelles ou commerciales
Données stratégiques ou confidentielles
Données techniques ou logistiques
3. Principes généraux
Alto s’engage à respecter les principes suivants :
Licéité, loyauté, transparence
Limitation des finalités
Minimisation des données
Exactitude des données
Limitation de la durée de conservation
Sécurité et intégrité
Responsabilité (Accountability)
4. Mesures de sécurité
Alto met en œuvre des mesures techniques et organisationnelles appropriées :
Techniques :
Hébergement sur serveurs certifiés HDS en France.
Chiffrement des données en transit (TLS) et au repos.
Mises à jour régulières des systèmes (patch management).
Pare-feu, antivirus, systèmes de détection d’intrusion.
Sauvegardes régulières et sécurisées.
Organisationnelles :
Politique d’accès restreint : droit d’accès minimal (need to know).
Formation régulière des équipes à la sécurité et à la protection des données.
Gestion des incidents de sécurité et des violations de données (procédure d’alerte sous 72h).
Contrôle des sous-traitants (clauses contractuelles, audits éventuels).
5. Registre des traitements
Alto tient à jour un registre des activités de traitement listant :
Les finalités de chaque traitement
Les données collectées
Les durées de conservation
Les destinataires
Les mesures de sécurité associées
6. Conservation et archivage
Les données sont conservées pour des durées conformes aux obligations légales :
Type de donnée | Durée maximale de conservation |
|---|---|
Données clients | 3 ans après la fin de la relation |
Données médicales (agenda) | Selon durée choisie par le centre médical, max 2 ans |
Données RH (CV non retenus) | 2 ans |
Données comptables | 10 ans |
7. Droits des personnes concernées
Les personnes dont les données sont traitées peuvent exercer :
Droit d’accès
Droit de rectification
Droit d’opposition
Droit à l’effacement
Droit à la limitation du traitement
Droit à la portabilité
Contact : dpo@rcpt.ai
8. Gestion des incidents
Tout incident de sécurité ou suspicion de violation des données doit être immédiatement signalé au responsable sécurité.
Une procédure interne de gestion des incidents prévoit :
L’analyse rapide de l’incident
L’alerte à la CNIL sous 72h si nécessaire
L’information des personnes concernées si l’incident présente un risque élevé
9. Responsabilités
Fonction | Rôle |
|---|---|
Dirigeant | Engagement global, validation des ressources nécessaires |
Responsable conformité | Mise en œuvre, suivi et contrôle de la politique |
Responsable sécurité | Application technique des mesures |
Collaborateurs | Respect des règles internes |
10. Suivi et révision
Cette politique est révisée au moins une fois par an ou en cas d’évolution réglementaire ou technologique majeure.
Politique Générale de Protection des Données
Version : 1.0
Date de mise à jour : 06.06.2025
Responsable : aurelien@callalto.com
1. Objectif
La présente Politique Générale de Protection des Données (PGPD) formalise les engagements de Alto SAS en matière de sécurité et de confidentialité des données à caractère personnel et des données sensibles ou stratégiques de l’entreprise.
Elle vise à :
Protéger les données personnelles de nos utilisateurs, clients, partenaires et collaborateurs.
Encadrer la sécurité globale des données de l’entreprise (commerciales, techniques, administratives).
Se conformer au Règlement Général sur la Protection des Données (RGPD) et à la loi française Informatique et Libertés.
2. Champ d’application
Cette politique s’applique :
À tous les salariés, dirigeants, prestataires et sous-traitants d’Alto.
À tous les systèmes d’information et moyens de traitement : logiciels, serveurs, cloud, réseaux télécoms, messageries, dispositifs mobiles.
À toutes les données traitées :
Données personnelles (nom, prénom, téléphone, e-mail, données santé, etc.)
Données professionnelles ou commerciales
Données stratégiques ou confidentielles
Données techniques ou logistiques
3. Principes généraux
Alto s’engage à respecter les principes suivants :
Licéité, loyauté, transparence
Limitation des finalités
Minimisation des données
Exactitude des données
Limitation de la durée de conservation
Sécurité et intégrité
Responsabilité (Accountability)
4. Mesures de sécurité
Alto met en œuvre des mesures techniques et organisationnelles appropriées :
Techniques :
Hébergement sur serveurs certifiés HDS en France.
Chiffrement des données en transit (TLS) et au repos.
Mises à jour régulières des systèmes (patch management).
Pare-feu, antivirus, systèmes de détection d’intrusion.
Sauvegardes régulières et sécurisées.
Organisationnelles :
Politique d’accès restreint : droit d’accès minimal (need to know).
Formation régulière des équipes à la sécurité et à la protection des données.
Gestion des incidents de sécurité et des violations de données (procédure d’alerte sous 72h).
Contrôle des sous-traitants (clauses contractuelles, audits éventuels).
5. Registre des traitements
Alto tient à jour un registre des activités de traitement listant :
Les finalités de chaque traitement
Les données collectées
Les durées de conservation
Les destinataires
Les mesures de sécurité associées
6. Conservation et archivage
Les données sont conservées pour des durées conformes aux obligations légales :
Type de donnée | Durée maximale de conservation |
|---|---|
Données clients | 3 ans après la fin de la relation |
Données médicales (agenda) | Selon durée choisie par le centre médical, max 2 ans |
Données RH (CV non retenus) | 2 ans |
Données comptables | 10 ans |
7. Droits des personnes concernées
Les personnes dont les données sont traitées peuvent exercer :
Droit d’accès
Droit de rectification
Droit d’opposition
Droit à l’effacement
Droit à la limitation du traitement
Droit à la portabilité
Contact : dpo@rcpt.ai
8. Gestion des incidents
Tout incident de sécurité ou suspicion de violation des données doit être immédiatement signalé au responsable sécurité.
Une procédure interne de gestion des incidents prévoit :
L’analyse rapide de l’incident
L’alerte à la CNIL sous 72h si nécessaire
L’information des personnes concernées si l’incident présente un risque élevé
9. Responsabilités
Fonction | Rôle |
|---|---|
Dirigeant | Engagement global, validation des ressources nécessaires |
Responsable conformité | Mise en œuvre, suivi et contrôle de la politique |
Responsable sécurité | Application technique des mesures |
Collaborateurs | Respect des règles internes |