I. CONTEXTE
Dans le cadre de la mise en œuvre de ses programmes d’accompagnement des femmes entrepreneures en Côte d’Ivoire, la Fondation SEPHIS procède à la collecte et au traitement de données à caractère personnel strictement nécessaires à l’exécution de ses activités.
Ainsi, la Fondation SEPHIS déclare s’engager à respecter l’ensemble des dispositions de la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel.
À ce titre, la Fondation SEPHIS garantit :
- La licéité et la transparence des traitements ;
- La limitation des données aux finalités déclarées ;
- La conservation proportionnée ;
- La sécurisation technique et organisationnelle ;
- Le respect des droits des personnes concernées.
La Fondation SEPHIS désigne un point focal interne en charge du suivi des questions relatives à la protection des données.
POLITIQUE DE PROTECTION DES DONNÉES PERSONNELLES
II. OBJECTIF
Cette politique a pour but de définir les principes et les règles applicables à la collecte, au traitement, à la conservation, à la transmission et à la suppression des données personnelles et autres informations sensibles au sein de la Fondation SEPHIS.
III. CHAMP D’APPLICATION
Elle s’applique à toutes les personnes, internes ou externes, qui accèdent ou manipulent des données dans le cadre des activités de la Fondation SEPHIS.
IV. PRINCIPES FONDAMENTAUX
- Licéité, loyauté et transparence :
Les données issues des actions de la Fondation SEPHIS, sont traitées de façon légale, loyale et transparente.
- Finalité limitée :
Les données issues des actions de la Fondation SEPHIS, sont collectées pour des finalités précises, explicites et légitimes (Gestion des programmes, suivi-évaluation, communication, rapports bailleurs).
- Minimisation des données :
Seules les données nécessaires sont collectées et traitées (Identité, Contacts, Informations professionnelles, Participation programme).
- Exactitude :
Les données à disposition doivent être exactes, à jour et complètes.
- Limitation de la conservation :
Les données sont conservées pour une durée limitée, en conformité avec la réglementation.
- Intégrité et confidentialité :
Les données sont protégées contre tout traitement non autorisé ou illégal. Les accès sont aux personnels habilités que sont les équipes des programmes, la direction et les bailleurs.
V. RESPONSABILITÉS
- Responsable de traitement :
La désignation de responsable ou de délégué à la protection des données (DPO) est un élément capital dans la politique de protection des données.
- Personnel :
La formation et sensibilisation du personnel est une action impérative pour une meilleure garantie et pérennité dans la protection des données.
- Sous-traitants :
Des obligations contractuelles sont conclues, pour assurer la sécurité des données transférées ou traitées par des tiers.
VI. MESURES DE SÉCURITÉ
Les mesures de sécurité, dans le cadre de la protection des données sont axées sur trois points et se présentent comme suit :
- Mise en place de comptes individuels
- Création de mots de passe obligatoires
- Mise en place d’un système de stockage sécurisé
- Sauvegardes régulières
VII. DROITS DES PERSONNES
Les personnes dont les données sont traitées disposent de droits (accès, rectification/correction, suppression, opposition etc.) qu’ils peuvent exercer en contactant les équipes de la Fondation SEPHIS, à travers la Présidence du Conseil d’Administration (PCA), la Direction Exécutive et/ou la Direction des Opérations.
VIII. TRANSFERT DE DONNÉES
Les transferts de données vers des tiers que sont les parties prenantes, doivent respecter la réglementation fixée par les clauses contractuelles.
VIII. CONSERVATION ET DESTRUCTION
La conservation et destruction des données se définissent par deux points qui se présentent comme suit :
- Les données sont conservées uniquement pendant la durée nécessaire à leur finalité.
- Mise en œuvre de procédures sécurisées pour la destruction ou l’anonymisation des données lorsque leur conservation n’est plus justifiée.
IX. FORMATION ET SENSIBILISATION
Une formation est organisée pour tout le personnel concerné par la question de la protection des données.
X. CONTRÔLES ET AUDIT
Des audits internes sont réalisés périodiquement (semestriel) pour la vérification de la conformité à la politique de protection de données mise en place par la Fondation SEPHIS.
XI. RÉVISION DE LA POLITIQUE
La revue de la politique de protection des données se fait au minimum une fois par an ou lors de changements réglementaires ou organisationnels.
MATRICE DE RISQUES – TRAITEMENT DONNÉES SEPHIS
Les risques au niveau du traitement des données pourraient se présenter à plusieurs niveaux et dans le but d’apporter une réponse aux risques, des mesures sont proposées pour chaque risque, comme suit :
N° | Risques | Mesures |
1 | Accès non autorisé | Restriction comptes + mots de passe |
2 | Perte de données | Sauvegardes régulières |
3 | Fuite externe | Interdiction partage sans validation |
4 | Erreur humaine | Sensibilisation personnelle |
5 | Conservation excessive | Politique archivage limitée |
PROCÉDURE DE GESTION DES INCIDENTS DE DONNÉES
Dans le cadre de la gestion des incidents liés aux données, la procédure est axée sur les directives suivantes :
- Toute suspicion d’accès non autorisé doit être signalée immédiatement à la direction de la fondation SEPHIS ;
- L’accès au système concerné est suspendu temporairement ;
- Une analyse interne est réalisée ;
- Les mesures correctives sont appliquées immédiatement ;
- Si nécessaire, notification à l’autorité compétente.
CLAUSE PROTECTION DES DONNÉES PERSONNELLES
Le partenaire s’engage à respecter la confidentialité des données personnelles auxquelles il pourrait avoir accès dans le cadre du programme.
Toute utilisation des données est strictement limitée aux besoins du programme.
Toute violation peut entraîner la résiliation immédiate du contrat.
POINT FOCAL PROTECTION DES DONNÉES
Organisation : Fondation SEPHIS
Nom : TIA BEN SALIA
Fonction : RESPONSABLE SUIVI ET EVALUATION
Email : meal@fondationsephis.org
Téléphone : +225 0777098510
Responsable du suivi des obligations liées à la protection des données.