Politique de protection des données

Dernière mise à jour : février 2026

SRPWORKS LTD s'engage à traiter les données personnelles de manière responsable, transparente et en pleine conformité avec le Règlement général sur la protection des données du Royaume-Uni (UK GDPR) et le Data Protection Act 2018. Cette Politique de protection des données définit les principes, responsabilités et procédures qui régissent la façon dont nous collectons, utilisons, conservons et protégeons les données personnelles au sein de notre organisation.

1. Champ d'application

Cette politique s'applique à toutes les données personnelles traitées par SRPWORKS LTD, notamment les données relatives aux étudiants, aux personnes qui nous contactent, aux visiteurs du site, aux employés, aux prestataires et aux contacts professionnels. Elle s'applique à l'ensemble des collaborateurs, consultants et tiers qui traitent des données personnelles en notre nom.

2. Principes de protection des données

Nous traitons les données personnelles conformément aux principes suivants, tels qu'exigés par le UK GDPR :

  • Licéité, loyauté et transparence — les données sont traitées sur une base légale et de manière transparente.
  • Limitation des finalités — les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées de manière incompatible avec ces finalités.
  • Minimisation des données — seules les données nécessaires à la finalité déclarée sont collectées.
  • Exactitude — les données sont maintenues exactes et à jour ; les données inexactes sont corrigées ou supprimées sans délai.
  • Limitation de la conservation — les données sont conservées sous une forme permettant l'identification pendant une durée n'excédant pas celle nécessaire.
  • Intégrité et confidentialité — les données sont traitées avec une sécurité appropriée pour les protéger contre tout accès non autorisé, perte ou destruction.
  • Responsabilité — SRPWORKS LTD est responsable du respect de l'ensemble de ces principes et doit être en mesure d'en apporter la preuve.

3. Rôles et responsabilités

SRPWORKS LTD est le Responsable du traitement pour l'ensemble des données personnelles que nous traitons. Nos responsabilités comprennent :

  • Veiller à ce que toutes les activités de traitement disposent d'une base légale documentée.
  • Tenir un registre des activités de traitement (RoPA) conformément à l'article 30 du UK GDPR.
  • Assurer une formation appropriée à tout collaborateur amené à traiter des données personnelles.
  • Réviser et mettre à jour cette politique et les procédures associées au moins une fois par an.
  • Désigner une personne responsable chargée de superviser la conformité en matière de protection des données et de servir de premier point de contact pour les demandes des personnes concernées.

4. Bases légales du traitement

Nous fondons le traitement des données personnelles sur les bases légales suivantes, au titre de l'article 6 du UK GDPR :

  • Contrat — traitement nécessaire à l'exécution d'un contrat avec la personne concernée.
  • Obligation légale — traitement nécessaire au respect d'une obligation légale.
  • Intérêts légitimes — traitement nécessaire à nos intérêts légitimes, dans la mesure où ceux-ci ne prévalent pas sur les droits de la personne concernée.
  • Consentement — lorsqu'aucune autre base légale ne s'applique, nous recueillons un consentement explicite avant tout traitement. Le consentement peut être retiré à tout moment.

Pour les données de catégories particulières (p. ex. santé, handicap, casier judiciaire), nous nous appuyons sur les conditions de l'article 9 du UK GDPR, notamment le consentement explicite ou le traitement nécessaire aux fins de réclamations juridiques.

5. Sécurité des données

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger les données personnelles, notamment :

  • Chiffrement des données personnelles en transit et au repos, le cas échéant.
  • Contrôles d'accès garantissant que seuls les collaborateurs autorisés peuvent accéder aux données personnelles.
  • Révision régulière des droits d'accès, notamment lors de changements de poste ou de fin de contrat.
  • Suppression sécurisée des données personnelles lorsqu'elles ne sont plus nécessaires (effacement numérique ou destruction physique des documents).
  • Protection antimalware à jour et application des correctifs de sécurité logiciels.
  • Sauvegardes régulières pour prévenir la perte de données.

6. Conservation des données

Nous ne conservons les données personnelles que le temps nécessaire à la finalité pour laquelle elles ont été collectées. Nos durées de conservation générales sont :

  • Données de demande d'information (sans service engagé) — 12 mois.
  • Dossiers clients et candidatures — 7 ans à compter de la fin de la relation.
  • Dossiers des employés — 7 ans à compter de la fin du contrat de travail.
  • Documents financiers — 7 ans (obligation légale).
  • Registres de consentement marketing — jusqu'au retrait du consentement ou après 3 ans d'inactivité.

Un calendrier de conservation complet est tenu à jour en interne. Les données sont supprimées de manière sécurisée ou anonymisées à l'expiration de la durée de conservation applicable.

7. Sous-traitants

Lorsque nous faisons appel à des prestataires tiers pour traiter des données personnelles en notre nom (p. ex. systèmes informatiques, plateformes de messagerie, outils CRM), nous veillons à ce que :

  • Un accord de traitement des données (DPA) écrit soit en place avant tout début de traitement.
  • Le sous-traitant offre des garanties suffisantes quant aux mesures techniques et organisationnelles appropriées.
  • Les sous-traitants ne soient autorisés à traiter les données que selon nos instructions documentées.
  • Une diligence raisonnable soit effectuée à l'égard des sous-traitants avant leur désignation, et qu'ils fassent l'objet de révisions périodiques.

8. Transferts internationaux

Lorsque des données personnelles sont transférées hors du Royaume-Uni ou de l'EEE, nous nous assurons que des garanties appropriées sont en place. Celles-ci peuvent inclure des décisions d'adéquation reconnues par le Royaume-Uni, des clauses contractuelles types (CCT) approuvées par l'ICO ou d'autres mécanismes de transfert autorisés par le UK GDPR. Tous les transferts internationaux sont documentés et les risques associés sont évalués.

9. Droits des personnes concernées

Nous respectons et facilitons l'exercice des droits des personnes concernées au titre du UK GDPR. À réception d'une demande valide, nous y répondons dans un délai d'un mois calendaire. Les demandes sont traitées gratuitement, sauf si elles sont manifestement infondées ou excessives. Les personnes concernées peuvent exercer les droits suivants :

  • Droit d'accès (demande d'accès de la personne concernée).
  • Droit de rectification des données inexactes ou incomplètes.
  • Droit à l'effacement (« droit à l'oubli »).
  • Droit à la limitation du traitement.
  • Droit à la portabilité des données.
  • Droit d'opposition au traitement.
  • Droits liés à la prise de décision automatisée et au profilage (nous ne pratiquons pas de prise de décision automatisée).

10. Réponse aux violations de données

En cas de violation de données personnelles, nous :

  • Contiendrons et évaluerons la violation dans les meilleurs délais.
  • Notifierons l'ICO dans les 72 heures si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes.
  • Informerons les personnes concernées sans délai indu si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.
  • Documenterons toutes les violations, y compris celles non signalées à l'ICO, dans notre registre interne des violations.

Tout collaborateur est tenu de signaler immédiatement à la personne responsable toute violation de données suspectée ou avérée.

11. Protection des données dès la conception

SRPWORKS LTD intègre la protection des données dans la conception de ses processus et systèmes dès le départ. Lors de l'introduction de nouveaux services, outils ou activités de traitement, les exigences en matière de protection des données sont prises en compte dès la conception. Si une nouvelle activité de traitement est susceptible d'engendrer un risque élevé pour les personnes, une Analyse d'Impact relative à la Protection des Données (AIPD) sera réalisée avant de procéder.

12. Formation et sensibilisation du personnel

Tous les collaborateurs amenés à traiter des données personnelles reçoivent une formation à la protection des données lors de leur prise de poste et à intervalles réguliers par la suite. Il leur est demandé de lire et de respecter cette politique ainsi que les procédures associées. Toute question ou préoccupation relative à la protection des données doit être adressée à la personne responsable.

13. Révision de la politique

Cette Politique de protection des données est révisée au moins une fois par an, ou plus tôt en cas de changements importants dans nos activités de traitement, la législation applicable ou les recommandations de l'ICO. La version en vigueur et la date de la dernière révision figurent en haut de cette page.

14. Contact et réclamations

Pour toute question concernant cette politique ou pour exercer vos droits en tant que personne concernée, veuillez utiliser notre page de contact. Si vous n'êtes pas satisfait de notre réponse, vous avez le droit de déposer une réclamation auprès de l'Information Commissioner's Office (ICO).

Information Commissioner's Office (ICO)
Politique de confidentialitéConditions d'utilisation