Mission de confiance

Politique de confidentialité

1 – NOS ENGAGEMENTS EN MATIÈRE DE RGPD

La société Variable (ci-après “WeUp”) poursuit son programme de mise en conformité
au Règlement Général sur la Protection des Données – RGPD – et à la loi Informatique
et Libertés du 6 janvier 1978 modifiée, ainsi qu’à toutes réglementations locales
applicables au sein de nos pays d’intervention.

Par la présente politique, nous souhaitons présenter dans un format concis, clair,
transparent et facilement accessible, les traitements de données à caractère personnel que
nous réalisons dans le cadre de nos prestations.

La stratégie de protection des données à caractère personnel de WeUp est intégrée et
alignée à celle du Groupe auquel elle est affiliée : Apave. Cette stratégie repose sur l’audit
du système de management de la protection de la vie privée mené et les exigences
imposées par la Direction des Systèmes d’Information (DSI). Cette stratégie a pour objectif
de garantir une conformité du Groupe aux lois sur la protection des données dans le
monde entier et d’intégrer une culture de la sécurité conforme à nos valeurs de maîtrise
des risques.

Par conséquent, les principes généraux de nos actions reposent sur le Système de
management de la protection de la vie privée, organisé en 14 domaines clés :

  • La gouvernance ;
  • La sensibilisation et la formation
  • La cartographie des données
  • Le partage, le transfert et la divulgation
  • La licéité des traitements
  • L’information et le droit des personnes concernées
  • Le privacy by design et by default
  • L’accountability
  • La gestion des violations de données et la réponse aux incidents
  • Le legal
  • Les mesures techniques et organisationnelles de sécurité
  • La gestion des audits et des contrôles de conformité
  • La relation et le contrôle avec les autorités
  • La continuité et l’amélioration

 Quelques définitions

Données personnelles

Une donnée personnelle est « toute information se rapportant à une personne physique
identifiée ou identifiable ». Une personne physique peut-être identifiée directement (via
son nom, prénom) ou indirectement (via son identifiant).

Traitement des données personnelles

Un traitement de données personnelles est « une opération, ou ensemble d’opérations,
portant sur des données personnelles, quel que soit le procédé utilisé (collecte,
enregistrement organisation, conservation, adaptation, modification, extraction
consultation, utilisation, communication par transmission ou diffusion ou toute autre
forme de mise à disposition, rapprochement) ». Le traitement peut être informatisé ou
papier

Délégué(e) à la protection des données

Le ou la délégué(e) à la protection des données (ci-après « DPD » ou « DPO ») est «
chargé de mettre en œuvre la conformité au règlement européen sur la protection des
données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis
en œuvre par cet organisme ».

Variable a désigné une déléguée à la protection des données à caractère personnel dont
les coordonnées sont les suivantes :

  • Email : dpo@apave.com
  • Par voie postale : 6 Rue du général Audran, 92400 Courbevoie, France

2 – NOTRE CONFORMITÉ AU RGPD

2.1 – Gouvernance

Le système de management de la protection de la vie privée de Variable est supervisé par la DPO rattachée au Secrétariat Général du Groupe Apave.

La DPO coordonne la mise en conformité dans chaque entité du Groupe avec l’aide des Correspondants DPO pour chaque entité légale et délégataires de Apave. Les Correspondants DPO sont nommés par chaque Directeurs Généraux et participent
activement à la mise en conformité de leur entité de rattachement grâce au Système de Management de la Protection de la Vie Privée et au suivi des plans d’actions. Les
Correspondants DPO assurent la liaison avec le DPO du groupe pour garantir l’alignement
stratégique et l’efficacité de la mise en conformité mondiale de protection des données et
de la vie privée.

2.2 – Plan de sensibilisation et de formation

La sensibilisation et la formation de l’ensemble des collaborateurs de WeUp est pilotée au
niveau du Groupe Apave et est un élément clé du Système de Management de la Protection de la Vie Privée. Chaque année, un plan de sensibilisation et de formation est élaboré autour de ces objectifs

  • Amélioration des connaissances pour réduire les risques et appliquer les bonnes
    pratiques
  • Elaboration d’une culture de la sécurité
  • Respect des obligations de conformité à la protection des données à caractère
    personnel

A cet effet, divers moyens de communication sont employés afin d’avoir un réel impact
multi-canal : formations e-learning à destination des collaborateurs et des dirigeants,
campagnes de simulation d’hameçonnage, communication intranet, sensibilisation en
groupe restreint, etc.

Ces communications qui peuvent avoir une portée nationale ou internationale, viennent
souligner les risques possibles pour le Système d’Information de WeUp. Elles permettent
aussi d’informer sur les solutions pour remédier à ces risques en cas d’incident, mais
surtout sur les méthodologies simples à appliquer pour assurer une protection des
données à caractère personnel.

3 – LES TRAITEMENTS DE DONNÉES RÉALISÉS

3.1 – Traitements de données

Les traitements de données que nous effectuons incluent les opérations de différentes
natures techniques à savoir non seulement la consultation des données mais aussi la
collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, l’utilisation, la limitation, l’effacement ou la destruction

Nous nous engageons à ne collecter et n’utiliser que des données pertinentes et adaptées.
C’est pourquoi nous sommes amenés à faire évoluer nos services afin de collecter
uniquement les données nécessaires.

Dans le cadre de nos prestations, nous sommes susceptibles de collecter des données
personnelles concernant les personnes concernées par différents canaux :

  • Lors des demandes de contact ou d’accompagnement depuis notre site internet ou
    directement lors d’échanges téléphoniques ou via email ;
  • à travers nos formulaires de souscription ou nos enquêtes de satisfaction ;
  • A travers la navigation sur nos sites internet par des cookies, balises web etc.
  • Directement par nos clients entreprise et employeur de la personne concernée ;
  • Lorsque nous intervenons dans le cadre des prestations convenues par contrat ;

3.2 – Finalités des traitements et bases juridiques

Pour chaque traitement de données mis en œuvre, nous avons une finalité déterminée,
légitime et explicite ainsi qu’une base juridique identifiée.

  • Le traitement de données pour gérer la relation client et la gestion des affaires

Nous utilisons vos données de contact (nom, prénom, coordonnées professionnelles,
fonctions), pour assurer le suivi et la gestion du contrat et des prestations qui y sont liées.
Cela nous permet également de planifier les interventions et de préparer les éléments de reporting, le cas échéant.

Nous stockons également vos consentements à recevoir des informations (par exemple pour l’actualité à laquelle vous vous abonnez), ainsi que vos retraits de consentement aux traitements et opposition pour les actions de prospection commerciale.

  • Le traitement des données afin de sécuriser vos services

Lorsque vous souhaitez accéder aux services en ligne auxquels vous avez souscrit, vous fournissez les données à caractère personnel suivantes : nom, prénom, adresse mail professionnelle, numéro de téléphone professionnel. Aux fins de sécurité et de détection des anomalies, des procédés techniques sont mis en œuvre. Ils nécessitent le traitement de données à caractère personnel telles que votre adresse IP, votre identifiant de connexion, une journalisation de vos activités et événements.

Ces traitements sont réalisés sur la base de l’intérêt légitime de WeUp à sécuriser ses
services et données de ses clients et à assurer le bon fonctionnement des services en ligne et du système d’information.

  • Les traitements de données pour vous fournir des prestations et services

Pour la réalisation de nos services et prestations mais aussi afin de répondre à nos
obligations contractuelles, nous collectons des données d’identification personnelles et professionnelles telles que : le nom, le prénom, les coordonnées professionnelles, mais également les données économiques et financières.

Dans des cas de figures particuliers, la société WeUp peut être amenée à fournir des
services et à traiter des données pour le compte d’une autre entreprise. Dans cette
éventualité, le Client incombe le rôle de responsable de traitement, et WeUp, la fonction de sous-traitant. Un contrat de sous-traitance au sens de l’article 28 du RGPD sera dûment établi et des obligations et garanties seront mises en œuvre tout au long du traitement de données. Pour le cas spécifique de la fourniture de plateformes LMS sous forme SaaS (Software As A Service), la plateforme WeUp collecte des données de connexion (logs de connexion, cookies fonctionnels). Nous pouvons également collecter des données personnelles de mineurs, dans ce cas, nous prenons toutes les dispositions pour sécuriser ces données personnelles et nous assurer du consentement préalable du/des parents. Les données collectées sont anonymisées lors de la suppression d’un compte utilisateur, puis supprimées un an après.

3.3 – Personnes concernées

Les personnes concernées par le traitement de leurs données personnelles dans le cadre de cette politique de protection des données sont les Clients et leurs collaborateurs ainsi que les Clients de Clients.

3.4 – Destinataires des données personnelles

Les données personnelles que nous collectons sont destinées aux services internes de la société WeUp en charge de la réalisation des prestations. Nous veillons à ce que seules les personnes habilitées puissent avoir accès temporairement ou de façon continue aux données.
Dans le cadre de certaines prestations, les données personnelles peuvent être transmises ou accessibles au Groupe Apave afin de mener les prestations selon les conditions du contrat.

Nous transmettons ces données à des personnes de confiance qui les traitent pour notre compte, selon nos instructions, conformément au RGPD et dans le respect de toute autre mesure appropriée de sécurité et de confidentialité. Nous faisons notamment appel à des fournisseurs de services pour assurer la sauvegarde et l’hébergement des données.

Nous sommes susceptibles de partager des données personnelles pour respecter des
obligations légales, réglementaires et administratives. Mais aussi afin de détecter,
empêcher ou traiter des activités frauduleuses, des atteintes à la sécurité ou tout problème d’ordre technique.

Les collaborateurs de WeUp qui sont autorisés à accéder aux données à caractère
personnel, mais également à tout type d’information, sont soumis, par principe, au respect de la confidentialité à travers leurs contrats de travail à travers la Charte Informatique et le règlement intérieur.

3.5 – Sous-traitants

Nous transmettons les données personnelles à des personnes de confiance qui les traitent pour notre compte, selon nos instructions, nos obligations contractuelles, conformément au RGPD et dans le respect de toute autre mesure appropriée de sécurité et de confidentialité. Nous faisons notamment appel à :

  • Des fournisseurs de services pour assurer la sauvegarde et l’hébergement des
    données (OVH, en France : Roubaix et Gravelines) ;
  • Prestataires externes : sous-traitance commerciale, apporteurs d’affaires.

3.6 Transferts des données hors de l’UE

L’ensemble des données personnelles traitées par WeUp et ses sous-traitants sont
hébergées en France ou dans l’Union Européenne. En fonction des prestations et de la
localisation du client, des données peuvent être transmises en dehors de l’Union
Européenne

Dans l’éventualité selon laquelle WeUp est tenue de procéder à un transfert de données personnelles vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel elle est soumise, elle informera le Client ou la personne concernée de cette obligation juridique avant chaque transfert, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

3.7 Durées de conservation

Conformément au principe de limitation de la conservation des données à caractère
personnel posé par le RGPD, nous avons fixé des durées de conservation adaptées à la
finalité des traitements réalisés.

Afin de s’assurer de l’application de ces principes, diverses mesures ont été prises :

  • Automatisation de certaines purges ;
  • Processus de durée de conservation, archivage et purge dans nos projets ;
  • Prises en compte des demandes de destruction des données sur instruction de la
    personne concernée ou du client ;
  • Procédure de mise en rebut de matériels

3.8 Privacy by design and by default

La méthodologie de projet du Groupe Apave inclut dans ces processus une première
analyse sommaire des impacts relatifs à la protection des données pour tout nouveau
projet. Cette première étape permet d’assurer notre responsabilité. En cohérence avec la notion d’accountability présentée par le RGPD, le Groupe Apave s’engage, au- delà de sa mise en conformité, à être en capacité de prouver cette conformité ainsi que la mise en œuvre des processus nécessaires à la maîtrise des données personnelles. Cela passe par l’application de deux principes clés :

  • La protection des données dès la conception du projet (privacy by design)
  • La protection des données prises en compte par défaut (privacy by default)

Le cas échéant, une analyse d’impact relative à la protection des données (AIPD) est
réalisée de façon plus poussée. Cette analyse permettra de construire un traitement
conforme au RGPD et respectueux de la vie privée. Le recours à ce type d’analyse de
risques se fait uniquement lorsqu’un traitement est susceptible d’engendrer un risque
élevé pour les droits de vos données ainsi que pour les libertés des personnes concernées, compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

4 LES DROITS DES PERSONNES CONCERNÉES

Les personnes concernées par le traitement de leurs données personnelles réalisé par
WeUp disposent de droits afin de garder la maîtrise de leurs données. A ce titre, nous nous engageons à respecter :

  • Un droit à l’information du traitement des données de façon claire, loyale et
    transparente ;
  • Un droit d’accès aux données transmises : la personne concernée peut obtenir de la part de WeUp, la confirmation que ses données sont traitées ou non, les finalités du traitement, le destinataire des données, le transfert éventuel de celles-ci ainsi
    qu’une copie desdites données
  • Un droit de rectification des données inexactes ou incomplètes : la personne
    concernée peut obtenir de notre part la rectification de ses données si celles-ci
    s’avèrent être erronées ou inexactes ;
  • Un droit d’opposition à certains traitements notamment ceux ayant pour finalité la
    prospection commerciale ;
  • Un droit de retrait du consentement à un traitement de données, sans que les effets de ce retrait soient rétroactifs ;
  • Un droit d’effacement des données faisant l’objet d’un traitement illicite : la
    personne concernée dispose d’un droit à l’oubli, seulement lorsque le traitement de ses données ne concerne pas l’exécution du contrat et que ledit contrat a été résilié;
  • Un droit à la portabilité permettant de recevoir dans un format utilisable les
    données fournies afin de les transmettre à un autre prestataire. La portabilité des
    données ne s’exerce que sur les données concernant la personne, sur les données
    transmises directement, et uniquement si le traitement est fondé sur le
    consentement ou le contrat ;
  • Un droit à la limitation du traitement ;
  • Un droit de donner des directives relatives à la conservation, à l’effacement et à la
    communication des données après décès.


Pour exercer ses droits, il suffit de contacter notre DPO à l’adresse suivante :
dpo@apave.com, ou par courrier à l’attention de la DPO à l’adresse suivante : APAVE, 6 Rue du Général Audran, 92400 Courbevoie. Il existe également la possibilité d’introduire une réclamation auprès d’une Autorité de contrôle de la Protection des Données, en France, il s’agit de la CNIL.

5 LES MESURES DE SÉCURITÉS TECHNIQUES ET ORGANISATIONNELLES

Nous mettons en place les mesures de sécurités organisationnelles et techniques
nécessaires et appropriées contre tout accès, toute modification, divulgation ou
destruction non autorisée des données que nous stockons. La Politique de Sécurité du
Système d’Information (PSI) peut être transmise pour obtenir plus de détails sur ces
mesures. La PSI a pour objectif de définir les fondamentaux de la sécurité de l’Information du groupe Apave, afin de préserver la confidentialité, l’intégrité et la disponibilité du patrimoine Informationnel (données personnelles, données de nos clients & partenaires, données opérationnelles et stratégiques etc..), avec pour constante motivation le maintien d’un service de qualité et sécurisé auprès de nos clients.

Ces mesures sont notamment les suivantes :

  • Nous ne collectons que les données nécessaires aux finalités déterminées, explicites et légitimes déclarées
  • S’agissant des collaborateurs, sous-traitants, prestataires et interlocuteurs de WeUp qui ont besoin d’accéder aux données à caractère personnel, pour exercer leurs rôles, fonctions et responsabilités
    • Ils y sont habilités et ont un accès qui leur est strictement réservé ;
    • Ils sont sensibilisés et/ou formés, selon leurs rôles, fonctions et
      responsabilités ;
    • Ils ont signé un engagement de confidentialité et ont été informés des
      risques et sanctions en cas de manquement à cette obligation.
  • Nous chiffrons les données lorsque cela est nécessaire


En cas de violation des données personnelles de la personne concernée, susceptible
d’engendrer un risque pour ses droits et libertés, notre DPO notifie la violation à la CNIL
dans les meilleurs délais, et, si possible 72 heures au plus tard après en avoir pris
connaissance. WeUp informera également la personne concernée, dans les meilleurs
délais, conformément aux dispositions de l’article 34 du RGPD.