Objet de la politique de protection des données personnelles
En résumé : Ce document récapitule l’ensemble des engagements pris par Les Domaines Barons
de Rothschild (Lafite) en matière de protection des Données Personnelles.
Responsable du traitement. La société Les Domaines Barons de Rothschild (Lafite) (ci-après,
« DBR ») est amenée à collecter et utiliser des données permettant d’identifier ou de rendre
identifiable son personnel, ses clients, prospects, fournisseurs, prestataires, partenaires, ainsi que
les internautes naviguant sur le(s) site(s) internet qu’elle édite (ci-après, les « Données
Personnelles » ou « Données »)
Données traitées. Dans ce contexte, DBR traite certaines catégories de Données Personnelles
comme des données économiques, des données d’identification, des données professionnelles,
des données relatives à la vie personnelle et certaines données relatives aux allergènes et
préférences alimentaires.
DBR attache une importance toute particulière à la transparence de ses pratiques, en particulier
en matière de respect des droits des Personnes Concernées sur leurs Données Personnelles.
Précisions. La présente Politique a pour objet de résumer dans un format concis, transparent,
compréhensible et aisément accessible les engagements pris par DBR concernant le respect des
principes énoncés par la Règlementation applicable aux Traitements de Données Personnelles, au
regard notamment :
- de la mise en œuvre de Traitements licites,
- du respect des droits des Personnes Concernées,
- des éventuels transferts vers un pays hors Union européenne
- des destinataires des Données Personnelles collectées,
- de la durée de conservation des Données Personnelles collectées,
- des mesures de sécurité appliquées pour protéger les Données Personnelles.
Accessibilité. Cette Politique comprend toute information nécessaire pour garantir la mise en
œuvre de Traitements équitables et transparents, compte tenu des circonstances particulières et
du contexte dans lesquels les Données Personnelles sont traitées. Elle est publiquement
accessible à toute personne qui en fait la demande et fait l’objet d’une publication.
Mise à jour. DBR met à jour et actualise la présente Politique afin de respecter les évolutions de la
Règlementation et en fonction des nécessités. Notre Politique est révisée a minima tous les trois
ans.
Questions. Si vous avez des questions sur la présente Politique et les pratiques de DBR en matière
de protection des Données Personnelles, nous vous invitons à nous contacter directement aux
coordonnées suivantes :
Les Domaines Barons de Rothschild (Lafite)
Service juridique
40 – 50 Cours du Médoc
BORDEAUX 33300, FRANCE
rgpd@lafite.com
Identification du responsable du traitement
En résumé : DBR est Responsable du Traitement des Données Personnelles qu’elle collecte et
utilise dans le cadre de son activité.
Les Données Personnelles sont collectées et traitées par la société Les Domaines Barons de
Rothschild (Lafite), dont les coordonnées complètes sont reproduites ci-dessous. DBR est donc
Responsable du Traitement au sens du Règlement Général sur la Protection des Données (ou
« RGPD »), dans la mesure où elle détermine les Moyens et finalités du Traitement
- Nom de l’organisme : Les Domaines Barons de Rothschild (Lafite)
- Forme juridique : Partnership Limited by Shares
- Adresse : 40 – 50 Cours du Médoc, 33 300 Bordeaux,
- N° RCS : 308 382 928 (Bordeaux)
- Capital social : €12,148,320
- Email de contact: rgpd@lafite.com
Liceite des traitements de données mis en œuvre par DBR
En résumé : DBR s’assure que les Traitements de Données Personnelles qu’elle met en œuvre sont
bien licites.
Bases légales. Chacun des Traitements mis en œuvre par DBR repose sur l’une des bases légales
prévues par le Règlement Général sur la Protection des Données. Le choix de chaque base légale
est documenté et mentionné dans le registre des activités de Traitement de DBR.
Précisions. Les Traitements de DBR reposent ainsi, selon le cas :
- sur le consentement de la Personne Concernée,
- sur le contrat, lorsque le Traitement est nécessaire à la préparation ou à l’exécution d’un contrat conclu avec la Personne concernée,
- sur une obligation légale, lorsque le Traitement est imposé par une Règlementation quelconque qui lui est applicable,
- sur l’intérêt légitime, lorsque le Traitement est nécessaire à la poursuite d’intérêts légitime de DBR, dans le strict respect des droits et intérêts des Personnes Concernées dont les Données Personnelles sont traitées.
Respect des principes applicables aux traitements de données mis en œuvre par DBR
En résumé : DBR s’engage à respecter les principes imposés par la Règlementation applicable aux
Traitements de Données Personnelles, en particulier ceux figurant à l’article 5 du Règlement
Général sur la Protections des Données.
Principe de Finalité. DBR s’engage tout d’abord à ne traiter des Données Personnelles que pour
des objectifs (ou Finalités) déterminés, précis, explicites et légitimes. Dans cette perspective, DBR
met en œuvre des Traitements ayant pour but :
- la gestion des ressources humaines,
- la gestion des accès aux sites
- la gestion de la relation client,
- la gestion de son système d’information,
- la gestion des relations avec ses fournisseurs et prestataires,
- la gestion de sa communication et de ses actions marketing,
- la gestion de la comptabilité et des affaires juridiques du groupe auquel elle appartient,
- la gestion de son site internet.
Principe de minimisation des Données. DBR prend l’engagement de ne traiter que des Données
Personnelles pertinentes et strictement nécessaires au regard de la Finalité de chaque Traitement
qu’elle met en œuvre.
Principe de limitation de la conservation des Données. DBR s’engage à ne traiter que des Données
Personnelles pertinentes et strictement nécessaires au regard de la Finalité de chaque Traitement
qu’elle met en œuvre. A ce titre, DBR s’est dotée d’une politique de durée de conservation permettant d’attribuer la durée de conservation adéquate à chaque Donnée Personnelle en
fonction de sa caractéristique et de la Finalité pour laquelle elle a été collectée. Une fois que les
durées de conservation sont expirées, DBR procède à leur suppression ou à leur anonymisation.
Principe de sécurité et de confidentialité des Données. En tant que Responsable du Traitement,
DBR est responsable de la sécurité des Données Personnelles qu’elle utilise et veille donc à ce que
seules les personnes autorisées aient accès à ces informations.
Principe d’exactitude. DBR s’attache à ne traiter que des Données Personnelles exactes et à jour.
DBR prend toutes les mesures raisonnables pour que les Données Personnelles qui sont inexactes,
eu égard aux Finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.
Principe de loyauté et de transparence. DBR informe chaque Personne Concernée, au plus tard
lors de la collecte de leurs Données Personnelles, des conditions dans lesquelles sont Traitées
leurs Données Personnelles. L’information est effectuée la plupart du temps par écrit d’une façon
concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples,
par le biais de formulaires de collecte et des notices d’information dédiées suivantes :
- Notice d’information salariés,
- Notice d’information clients,
- Clauses et notices prestataires et sous-traitants,
- Notice d’information internautes.
Absence de prise de décision automatisée. Les Traitements mis en œuvre par DBR ne prévoient
pas de prise de décision automatisée.
Précisions relatives aux mesures de sécurité déployées par DBR
En résumé : DBR prend l’engagement d’assurer la sécurité des Données Personnelles qu’elle
utilise.
Engagements. Conformément au principe de sécurité, DBR met en œuvre les mesure techniques
et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque et à la
nature des Données Personnelles traitées. Dans ce contexte, DBR prend en compte l’état des
connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des
Finalités du Traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour
les droits et libertés des Personnes Concernées.
Sécurité Physique. Dans cette perspective, DBR assure tout d’abord la sécurité physique des
Données Personnelles, en veillant notamment à limiter au strict nécessaire les accès des
personnes aux lieux de stockage et serveurs situés dans ses locaux.
Sécurité informatique. DBR déploie ensuite un ensemble de mesures informatiques de sécurité
permettant :
- de garantir la confidentialité des Données (chiffrement, l’authentification forte, l’utilisation d’un VPN pour les connexions à distance, journalisation et la limitation des accès,
- de rétablir la disponibilité des Données Personnelles en cas d’incident.
PGSSI. DBR se dote enfin d’une politique générale de sécurité des systèmes d’information (ou
« PGSSI »). La PGSSI de DBR reflète la vision stratégique de la direction en matière de sécurité des
systèmes d’information et de gestion de risques. Elle décrit les éléments stratégiques (enjeux,
référentiel, principaux besoins de sécurité et menaces) ainsi que les règles de sécurité applicables
à la protection du système d’information de DBR.
Violations de Données Personnelles. DBR met en place une procédure de notification à la CNIL des
violations de Données Personnelles dans les soixante-douze (72) heures, comportant les
informations imposées par la Règlementation. Lorsque la violation de Données Personnelles est
susceptible d’engendrer un risque élevé pour les droits et libertés des Personnes Concernées, cette
même procédure prévoit une information circonstanciée des Personnes Concernées dans les
meilleurs délais
Destinataires des données personnelles traitées
En résumé : Les personnes et organismes qui ont accès aux Données Personnelles traitées par
DBR sont identifiés et s’engagent notamment à respecter les droits des Personnes Concernées par
le bais d’engagements contractuels dédiés.
Personnel. Les Données Personnelles sont principalement utilisées par le personnel de DBR dédié
ayant effectivement la nécessité d’y accéder en raison de leurs fonctions. Les services concernés
sont identifiés là encore au sein des registres de DBR.
Tiers. DBR identifie par ailleurs l’intégralité des organismes à qui elle communique des Données
Personnelles, comme par exemple ses sous-traitants, ses prestataires et ses partenaires. L’identification des tiers est documentée au sein d’un registre dédié, qui est régulièrement mis à jour en fonction de l’évolution des Traitements que DBR met en œuvre.
Transfert des données personnelles vers un pays hors union européenne
En résumé : En principe, DBR ne transfère en principe pas les Données Personnelles qu’elle traite
en dehors de l’Union Européenne. Si DBR est amenée à procéder à un tel transfert, elle le fera
dans le respect de la Règlementation applicable.
DBR est particulièrement attentive à la question des transferts de Données Personnelles en dehors
de l’Union Européenne (UE) ou de l’Espace Economique Européen (EEE).
Adéquation. DBR prend ainsi toutes les mesures nécessaires pour les éviter ou maximum lesdits
transferts et, quand elle y procède, pour respecter la Règlementation, de sorte que le niveau de
protection des Personnes Concernées garanti par cette même Règlementation ne soit pas
compromis.
Précisions. Ainsi, DBR ne procède à des transferts de Données Personnelles hors EEE ou UE
qu’après s’être assurée que le niveau de protection des Données soit suffisant et approprié et avoir
utilisé les outils juridiques définis au chapitre V du Règlement Général sur la Protection des Données (décision d’adéquation, clauses contractuelles types, règles d’entreprise contraignantes,
consentement explicite notamment).
Hors adéquation. S’agissant des tiers situés dans un pays ne bénéficiant pas d’une décision
d’adéquation, DBR s’assure que ces derniers s’engagent à prendre les mesures nécessaires au
respect des droits des Personnes Concernées sur leurs Données, notamment par le biais de
clauses contractuelles types et mesures supplémentaires de sécurité comme le chiffrement par
exemple.
Registre. DBR a par ailleurs identifié l’intégralité des transferts de Données Personnelles qu’elle
réalise au sein d’un registre dédié, qu’elle tient régulièrement à jour.
Respect des droits des personnes concernées sur leurs données
En résumé. DBR met en place les procédures nécessaires au respect des droits des Personnes
concernées sur leurs Données Personnelles.
Droits des Personnes Concernées. Conformément à la Règlementation, les Personnes Concernées
sont susceptibles d’exercer les droits suivants, directement auprès de DBR, lorsque cette dernière
traite leurs Données Personnelles
- Droit d’accès. Chaque Personne Concernée dispose du droit d’accéder à ses Données à tout moment, ainsi que de demander les raisons pour lesquelles DBR les utilise.
- Droit de rectification. Chaque Personne Concernée a la faculté de demander la correction des Données la concernant qui s’avèreraient inexactes.
- Droit d’opposition ou d’effacement. La Personne Concernée peut également s’opposer à tout moment à la collecte et au Traitement de ses Données ou demander leur effacement, dès lors que leur conservation par DVR n’est plus nécessaire.
- Droit de limitation. La Personne Concernée peut également s’opposer à tout moment à la collecte et au Traitement de ses Données Personnelles pour des raisons tenant à sa situation particulière, sauf lorsque ce Traitement est nécessaire à l’exécution du contrat ou au respect d’une obligation légale par DBR.
- Droit au retrait du consentement. Chaque Personne Concernée peut retirer son consentement au Traitement de ses Données à n’importe quel moment.
Droit à la portabilité. Les Personnes concernées peuvent exercer leur droit à la portabilité (c’est-à-dire obtenir ses Données sous une forme structurée lisible par ordinateur) concernant les Données fournies directement à DBR sur la base du consentement ou d’un contrat conclu avec DBR et qui font l’objet d’un Traitement automatisé. - Directives post mortem. Toute Personne Concernée dispose du droit de formuler des directives concernant la conservation, l’effacement et la communication de ses Données après sa mort.
- Réclamation. Toute Personne Concernée a le droit d’effectuer une réclamation auprès d’une autorité de contrôle si elle considère que DBR n’a pas respecté ses droits. Par exemple, si la Personne Concernée réside en France, elle peut adresser sa réclamation auprès de la Commission Nationale Informatique et Libertés (lien : https://www.cnil.fr/fr/adresser-une-plainte).
- Les Personnes Concernées peuvent trouver plus d’informations s’agissant de leurs droits en consultant le site internet de la CNIL (https://www.cnil.fr/fr/les-droits-pour-maitriservos-donnees-personnelles) ou auprès de toute autre autorité de contrôle établie dans son pays de résidence.
Exercice des droits. DBR met en place une procédure facilitant l’exercice des droits des Personnes
Concernées comprenant, conformément à l’article 12 du RGPD et a minima les modalités :
- d’identification/authentification de la Personne Concernée exerçant ses droits,
- permettant de respecter les délais de réponse.
Coordonnées. L’exercice des droits visés ci-dessus peut être effectué par courrier électronique ou
courrier postal adressé aux coordonnées suivantes. En cas de doute légitime, DBR se réserve la
faculté de solliciter une copie d’un titre d’identité sur lequel elle demandera d’apposer un filigrane
inaltérable pour des raisons de sécurité.
Les Domaines Barons de Rothschild (Lafite)
Service juridique
40 – 50 Cours du Médoc
BORDEAUX 33300, FRANCE
rgpd@lafite.com
Lexique des termes utilisés dans la présente politique
En résumé : DBR publie ici la définition qu’il convient de donner aux termes utilisés dans la
présente Police avec une première lettre en majuscule. Ces définitions sont reproduites par
référence à l’article 4 du RGPD.
« Donnée(s) » ou « Donnée(s) Personnelle(s) ». Désigne toute information se rapportant à une
personne physique identifiée ou identifiable (la « Personne Concernée ») ; est réputée être une
« personne physique identifiable » une personne physique qui peut être identifiée, directement ou
indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification,
des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques
propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou
sociale;
« Finalité ». Désigne l’objectif suivi par l’organisme lors du Traitement des Données. La Finalité doit
être déterminée, explicite et légitime.
« Règlementation ». Désigne l’ensemble de la Règlementation applicable aux Traitements par DBR
de Données Personnelles, en particulier le Règlement (UE) 2016/679 du Parlement européen et
du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du Traitement
des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive
95/46/CE (règlement général sur la protection des données) ; la Loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés ; ainsi que l’ensemble des normes nationales
et internationales en vigueur en matière de communications électroniques par exemple, comme la
Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le
Traitement des données à caractère personnel et la protection de la vie privée dans le secteur des
communications électroniques (directive vie privée et communications électroniques).
« Responsable du Traitement ». Désigne la personne physique ou morale, l’autorité publique, le
service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les Finalités et
les moyens du Traitement.
« Traitement ». Désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide
de procédés automatisés et appliquées à des données ou des ensembles de données à caractère
personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation,
l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par
transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou
l’interconnexion, la limitation, l’effacement ou la destruction.