FR
Gérez votre réservation chez MuchoSur DelSur Rewards Contactez Réserve
Réserve
FR
Contactez
Gérez votre réservation chez MuchoSur DelSur Rewards
Réserve
« Désormais, la pointe de l’Amérique, s’étendant vers l’extérieur, pointe insistant vers le Sud, notre Nord. »
- Joaquín Torres García
MuchoSur © 2026. Développé par GNAHS

Avis juridique de MuchoSur

Politique de protection des données

La politique de traitement des données est élaborée conformément aux articles 15 et 20 de la Constitution politique, ainsi qu'aux articles 17(k) et 18(f) de la loi n° 1581 de 2012, qui établit les dispositions générales relatives à la protection des données personnelles (LEPD). Elle est également conforme à l'article 2.2.2.25.1.1, section 1, chapitre 25 du décret n° 1074 de 2015, qui transpose partiellement la loi n° 1581 de 2012.

La présente politique s'appliquera à toutes les données personnelles enregistrées dans les bases de données traitées par le responsable du traitement des données.


1. OBJECTIF ET PORTÉE

Décrire les lignes directrices relatives au traitement des données personnelles en tenant compte des dispositions de la loi 1581 de 2012, du décret 1377 de 2013, du décret 886 de 2014, incorporé dans le décret unique 1074 de 2015, et des autres réglementations qui étendent, modifient ou remplacent la réglementation en la matière.

Le présent document s'applique à toutes les données personnelles et à toute autre information utilisée ou stockée dans les bases de données et les fichiers de MuchoSur, en respectant les critères d'obtention, de collecte, d'utilisation, de traitement, d'échange, de transfert et de transmission des données personnelles. Il établit également les obligations et les directives de MuchoSur en matière de gestion et de traitement des données personnelles stockées dans ses bases de données et ses fichiers. Ce manuel s'applique aux processus de MuchoSur impliquant le traitement de données (données publiques, semi-publiques, privées, sensibles et données relatives aux enfants et aux adolescents), que ce soit en tant que responsable du traitement ou sous-traitant.


2. DÉFINITIONS

Aux fins de l’application des règles contenues dans la présente politique, et conformément aux dispositions de l’article 3 de la loi 1581 de 2012, les définitions suivantes s’appliquent :

● Autorisation : Consentement préalable, exprès et éclairé de la personne concernée au traitement de ses données à caractère personnel. L’autorisation est réputée satisfaire à ces exigences lorsqu’elle est donnée (i) par écrit, (ii) oralement ou (iii) par un comportement non équivoque de la personne concernée permettant raisonnablement de conclure à son octroi. Le silence ne saurait en aucun cas être considéré comme un comportement non équivoque.

● Avis de confidentialité : Communication verbale ou écrite émise par le responsable du traitement et adressée à la personne concernée par le traitement de ses données personnelles, l’informant de l’existence des politiques de traitement des données qui lui seront applicables, de la manière d’y accéder et des finalités du traitement prévu.

● Base de données : Un ensemble organisé de données personnelles soumises à un traitement, appartenant au même contexte et stockées systématiquement pour une utilisation ultérieure.

● Données personnelles : Toute information relative à une ou plusieurs personnes physiques identifiées ou identifiables. Ces données sont classées comme publiques, semi-privées, privées et sensibles.

● Données publiques : Il s’agit des données qui ne sont ni semi-privées, ni privées, ni sensibles. Les données publiques comprennent notamment les données relatives à l’état civil, à la profession ou au statut d’une personne (commerçant ou agent public). De par leur nature, les données publiques peuvent figurer, entre autres, dans les registres publics, les documents publics, les journaux et bulletins officiels, ainsi que dans les jugements dûment exécutés et non soumis à la confidentialité.

● Données semi-privées : Il s'agit de données qui ne sont ni intimes, ni réservées, ni publiques et dont la connaissance ou la divulgation peut intéresser non seulement leur propriétaire, mais aussi un certain secteur ou groupe de personnes ou la société en général, telles que : les bases de données contenant des informations financières, de crédit, commerciales, de services et des informations provenant de pays tiers.

● Données privées : Il s’agit de données qui, de par leur nature intime ou confidentielle, ne concernent que leur propriétaire et dont le traitement requiert son autorisation préalable, éclairée et expresse. On peut citer comme exemples les bases de données contenant des numéros de téléphone et des adresses électroniques personnelles ; les données relatives à l’emploi ; les données relatives aux infractions administratives ou pénales ; les données gérées par les autorités fiscales, les institutions financières, les organismes de sécurité sociale et les services publics ; les bases de données sur la solvabilité ; les bases de données contenant suffisamment d’informations pour évaluer la personnalité du propriétaire ; et les bases de données des opérateurs de services de communication électronique. Données sensibles : Les données sensibles sont celles qui portent atteinte à la vie privée de la personne concernée ou dont l’utilisation abusive peut engendrer une discrimination. Il s’agit notamment des données révélant l’origine raciale ou ethnique, l’orientation politique, les convictions religieuses ou philosophiques, l’appartenance à un syndicat, à une organisation sociale ou de défense des droits humains, ou qui promeuvent les intérêts d’un parti politique ou garantissent les droits et garanties des partis d’opposition, ainsi que les données relatives à la santé, à la vie sexuelle et les données biométriques.

● Sous-traitant : Personne physique ou morale, publique ou privée, qui, seule ou en association avec d'autres, effectue le traitement des données à caractère personnel pour le compte du responsable du traitement.

● Responsable du traitement des données : Personne physique ou morale, publique ou privée, qui, seule ou conjointement avec d’autres, décide de la base de données et/ou du traitement des données.

● Gestionnaire de base de données : Employé chargé de contrôler et de coordonner la bonne application des politiques de traitement des données une fois que celles-ci sont stockées dans une base de données spécifique ; ainsi que de mettre en œuvre les directives émises par le responsable du traitement des données et le délégué à la protection des données.

● Délégué à la protection des données : Il s'agit de la personne physique qui assume la fonction de coordination de la mise en œuvre du cadre juridique en matière de protection des données personnelles, qui traitera les demandes des titulaires de données, pour l'exercice des droits visés par la loi 1581 de 2012.

● Transfert : Un transfert de données a lieu lorsque le responsable du traitement et/ou le sous-traitant des données personnelles, situé en Colombie, envoie les informations ou les données personnelles à un destinataire, qui est à son tour un responsable du traitement et est situé à l'intérieur ou à l'extérieur du pays.

● Transmission : Traitement des données personnelles impliquant la communication de celles-ci à l’intérieur ou à l’extérieur du territoire de la République de Colombie lorsque son but est le traitement par le sous-traitant pour le compte du responsable du traitement.

● Personne concernée : Personne physique dont les données personnelles sont traitées.

● Traitement : Toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, telles que la collecte, le stockage, l'utilisation, la diffusion ou la suppression de ces données.


3. PRINCIPES

L’article 4 de la LEPD (Loi sur la protection des données personnelles) établit les principes de traitement des données personnelles qui doivent être appliqués de manière harmonieuse et exhaustive lors de l’élaboration, de l’interprétation et de l’application de la Loi. Les principes énoncés ci-dessous constituent les paramètres généraux que MuchoSur adoptera et sont les suivants :

● Principe de légalité : Le traitement des données est une activité réglementée qui doit se conformer aux dispositions de la LEPD, décret 1377 de 2013 compilé au chapitre 25 du décret 1074 de 2015 et autres dispositions qui la développent.

● Principe de finalité : Le traitement des données personnelles doit être effectué à des fins légitimes, conformément à la Constitution et à la loi, lesquelles doivent être communiquées à la personne concernée ;

● Principe de liberté : Le traitement des données ne peut être effectué qu’avec le consentement préalable, exprès et éclairé de la personne concernée. Les données à caractère personnel ne peuvent être obtenues ni divulguées sans autorisation préalable, sauf en cas de disposition légale ou judiciaire dispensant de l’exigence de consentement. Le traitement des données requiert l’autorisation préalable et éclairée de la personne concernée par tout moyen permettant une vérification ultérieure.

● Principe de véracité ou de qualité : les informations traitées doivent être véridiques, complètes, exactes, à jour, vérifiables et compréhensibles. Le traitement de données partielles, incomplètes, fragmentées ou trompeuses est interdit ;

● Principe de transparence : Lors du traitement des données à caractère personnel, le droit de la personne concernée d’obtenir du responsable du traitement ou du sous-traitant, à tout moment et sans restriction, des informations sur l’existence de données la concernant doit être garanti. Lorsqu’il sollicite l’autorisation de la personne concernée, le responsable du traitement doit l’informer clairement et expressément des éléments suivants et conserver la preuve du respect de cette obligation :

Le traitement auquel vos données seront soumises et la finalité de ce traitement.

Le caractère facultatif de la réponse du titulaire aux questions posées lorsqu'il traite de données sensibles ou de données concernant des enfants ou des adolescents.

Vos droits en tant que propriétaire.

L'identification, l'adresse postale, l'adresse électronique et le numéro de téléphone du responsable du traitement des données.

● Principe de restriction d’accès et de diffusion : Le traitement des données à caractère personnel est soumis aux limitations liées à la nature des données, aux dispositions de la RGPD (Loi sur la protection des données personnelles) et à la Constitution. À cet égard, le traitement ne peut être effectué que par les personnes autorisées par la personne concernée et/ou par les personnes désignées par la loi. Les données à caractère personnel, à l’exception des informations publiques, ne peuvent être accessibles sur Internet ni par aucun autre moyen de diffusion ou de communication de masse, sauf si l’accès est techniquement contrôlable afin de garantir un accès restreint aux seules personnes concernées ou aux tiers autorisés.

● Principe de sécurité : Les informations traitées par MuchoSur doivent être protégées par la mise en œuvre des mesures techniques, humaines et administratives nécessaires afin de garantir la sécurité des données et d'empêcher leur altération, leur perte, leur accès, leur utilisation ou leur divulgation non autorisés ou frauduleux. Le responsable du traitement des données est chargé de mettre en œuvre les mesures de sécurité correspondantes et de les porter à la connaissance de tout le personnel ayant un accès direct ou indirect aux données. Les utilisateurs accédant aux systèmes d'information du responsable du traitement des données doivent connaître et respecter les règles et mesures de sécurité applicables à leurs fonctions. Ces règles et mesures de sécurité sont définies dans la politique de sécurité interne PL-02, qui est obligatoire pour tous les utilisateurs et le personnel de l'entreprise. Toute modification apportée par le responsable du traitement des données aux règles et mesures relatives à la sécurité des données personnelles doit être communiquée aux utilisateurs.

● Principe de confidentialité : Toutes les personnes impliquées dans le traitement des données personnelles sont tenues de garantir la confidentialité des informations, même après la fin de leur relation avec l'une quelconque des tâches qui composent le traitement, et ne peuvent fournir ou communiquer des données personnelles que lorsque cela correspond au développement des activités autorisées par la LDPD et dans les termes de celle-ci.


4. TRAITEMENT DES DONNÉES DES MINEURS

MuchoSur, conformément à l'article 7 de la loi 1581 de 2012, traite les données personnelles des enfants et des adolescents dans le cadre des critères indiqués à l'article 2.2.2.25.2.9, section 2 du chapitre 25 du décret 1074 de 2015 (article 12 du décret 1377 de 2013), en respectant les paramètres et exigences suivants :

● Que l’utilisation des données réponde aux intérêts supérieurs des enfants et des adolescents et les respecte.

● Que l’utilisation des données assure le respect des droits fondamentaux du mineur.

Une fois les conditions susmentionnées remplies, MuchoSur sollicitera l'autorisation du représentant légal de l'enfant, après que celui-ci aura exercé son droit d'être entendu. L'avis de l'enfant sera pris en compte, en tenant compte de sa maturité, de son autonomie et de sa capacité de compréhension. En tant que responsable du traitement et/ou sous-traitant, MuchoSur garantira l'utilisation appropriée des données des enfants et des adolescents, conformément aux principes et obligations établis par la loi n° 1581 de 2012 et ses règlements d'application. MuchoSur identifiera également toutes les données sensibles collectées ou stockées afin d'en renforcer la sécurité et le traitement.


5. FINALITÉS DU TRAITEMENT DES DONNÉES PERSONNELLES

MuchoSur, dans le cadre de ses activités, traite des données personnelles relatives à des personnes physiques, lesquelles sont stockées et traitées dans des bases de données à des fins légitimes, conformément à la Constitution et à la loi. Ce traitement comprend la collecte, le stockage, l'utilisation, la diffusion et la suppression des données. Il est soumis aux finalités autorisées par la personne concernée, aux obligations contractuelles liant les parties et à toute obligation légale applicable.

L’annexe 1 PL-01, intitulée « Organisation des bases de données », contient des informations relatives aux différentes bases de données sous la responsabilité de la société et aux finalités de traitement attribuées à chacune d’elles.


6. VALIDITÉ DE LA BASE DE DONNÉES

Les données personnelles intégrées dans les bases de données seront valables pendant la durée nécessaire à la réalisation des finalités pour lesquelles leur traitement a été autorisé et conformément aux règles spécifiques qui régissent la question ; les règles en vigueur relatives à la durée de conservation seront également prises en compte.


7. AUTORISATION

Conformément à l'article 9 de la LEPD (Loi sur la protection des données personnelles), le traitement des données personnelles requiert le consentement de la personne concernée, sauf dans les cas expressément prévus par la réglementation relative à la protection des données personnelles. Avant et/ou au moment de la collecte des données personnelles, MuchoSur demandera à la personne concernée son consentement pour collecter et traiter ces données, en indiquant la finalité du traitement, par des moyens techniques automatisés, écrits ou oraux permettant la conservation d'une preuve de consentement et/ou le comportement non équivoque décrit à l'article 2.2.2.25.2.2, paragraphe 2, chapitre 25 du décret 1074 de 2015. Le consentement de la personne concernée ne sera pas requis dans les cas suivants :

● Les données personnelles sont requises par une entité publique ou administrative dans l'exercice de ses fonctions légales ou par décision de justice.

● Les données sont de nature publique

● Il s'agit de cas d'urgences médicales ou sanitaires.

● Le traitement des données personnelles est autorisé par la loi à des fins historiques, statistiques ou scientifiques

● Cela concerne les données relatives à l'état civil des personnes physiques


8. FORME ET MÉCANISMES D'OCTROI DE L'AUTORISATION

L’autorisation de la personne concernée est contenue dans chacun des canaux et mécanismes de collecte de données de la plateforme, ce qui garantit sa consultation ultérieure et la manifestation de la volonté de la personne concernée par les moyens suivants :

● Par écrit.

● Par voie orale.

● Par le biais de canaux automatisés.

● Par une conduite sans équivoque du titulaire qui permet raisonnablement de conclure qu’il a accordé l’autorisation.

Et, au préalable et/ou au moment de la collecte des données personnelles, elle informera clairement et expressément la personne concernée des éléments suivants :

● Le traitement auquel vos données personnelles seront soumises et sa finalité ;

● Le caractère facultatif de la réponse aux questions posées, lorsque celles-ci portent sur des données sensibles ou sur les données de filles, de garçons et d’adolescents ;

● Les droits dont vous disposez en tant que personne concernée ;

● L’identification, l’adresse physique ou électronique et le numéro de téléphone MuchoSur.


9. DROITS DES PERSONNES CONCERNÉES

Conformément aux dispositions de l'article 8 de la loi n° 1581 de 2012, de l'article 2.2.2.25.4.1, section 4, chapitre 25 du décret n° 1074 de 2015 (articles 21 et 22 du décret n° 1377 de 2013), les personnes concernées peuvent exercer plusieurs droits relatifs au traitement de leurs données personnelles. Elles disposent notamment des droits suivants :

● Vous avez le droit de connaître, de mettre à jour et de rectifier vos données personnelles auprès des responsables du traitement ou des sous-traitants. Ce droit peut notamment s’exercer concernant des données partielles, inexactes, incomplètes, fragmentées, trompeuses ou dont le traitement est expressément interdit ou non autorisé.

● Demander la preuve de l’autorisation accordée au responsable du traitement des données, sauf exemption expresse prévue à titre d’exigence de traitement, conformément aux dispositions de l’article 10 de la loi 1581 de 2012.

● Être informé, sur demande, par le responsable du traitement ou le sous-traitant des données concernant l’utilisation qui a été faite de vos données personnelles

● Déposer une plainte auprès de la Surintendance de l'industrie et du commerce pour toute violation des dispositions de la loi 1581 de 2012 et des autres règlements qui la modifient, la complètent ou y ajoutent des éléments.

● Révoquer l’autorisation et/ou demander la suppression des données lorsque le traitement ne respecte pas les principes, droits et garanties constitutionnels et légaux. La révocation et/ou la suppression seront mises en œuvre lorsque la Surintendance de l’industrie et du commerce aura constaté que le responsable du traitement a agi en violation de la loi et de la Constitution.

● Accédez à vos données personnelles traitées gratuitement, conformément à la politique de traitement des données personnelles. Ces droits peuvent être exercés par les personnes suivantes.

Par le Titulaire, qui doit prouver son identité de manière suffisante par les différents moyens mis à sa disposition par la Partie Responsable.

Par leurs successeurs, qui doivent prouver ce statut.

Par le représentant et/ou l'avocat du titulaire, après accréditation de la représentation ou de la procuration.

Par stipulation en faveur d'un autre et pour un autre.

Les droits des enfants ou des adolescents seront exercés par les personnes habilitées à les représenter.

Droit d'accès ou de consultation

Cela fait référence au droit de la personne concernée d'être informée par le responsable du traitement, sur demande, de l'origine, de l'utilisation et de la finalité du traitement de ses données personnelles.

● Droit de porter plainte et de formuler des réclamations

La loi distingue quatre types de réclamations :

Droit de rectification : le droit du Titulaire de faire mettre à jour, rectifier ou modifier les données partielles, inexactes, incomplètes, fragmentées ou trompeuses, ou celles dont le traitement est expressément interdit ou n’a pas été autorisé.

Demande d’effacement : le droit de la personne concernée de faire effacer les données inadéquates, excessives ou qui ne respectent pas les principes, droits et garanties constitutionnels et légaux.

Droit de révocation : le droit du titulaire de révoquer l’autorisation précédemment accordée pour le traitement de ses données personnelles.

Action en contrefaçon : le droit du titulaire de demander que la non-conformité avec la réglementation sur la protection des données soit corrigée.

● Droit de demander une preuve de l’autorisation accordée au responsable du traitement des données

Sauf en cas d’exemption expresse au titre des exigences de traitement prévues à l’article 10 de la LEPD.

● Droit de porter plainte auprès de la Surintendance de l'industrie et du commerce en cas d'infractions

La personne concernée ou son successeur ne peut soumettre la demande (plainte) à la SIC – Surintendance de l’industrie et du commerce – qu’une fois épuisée la procédure de consultation ou de réclamation auprès du responsable du traitement ou du sous-traitant.


10. OBLIGATIONS DE MUCHOSUR CONCERNANT LE TRAITEMENT DES DONNÉES PERSONNELLES

MuchoSur gardera toujours à l'esprit que les données personnelles appartiennent aux personnes concernées et que seules ces dernières peuvent décider de leur utilisation. Par conséquent, MuchoSur les utilisera uniquement aux fins pour lesquelles elle est dûment autorisée, et toujours dans le respect de la loi n° 1581 de 2012 relative à la protection des données personnelles.

Conformément aux dispositions de l’article 17 de la loi 1581 de 2012, MuchoSur s’engage à respecter en permanence les obligations suivantes :

● Garantir à la personne concernée, en tout temps, l’exercice plein et effectif de son droit d’habeas corpus

● Conserver les informations dans les conditions de sécurité nécessaires pour empêcher leur altération, leur perte, leur accès, leur utilisation ou leur divulgation non autorisés ou frauduleux.

● Demander et conserver, dans les conditions prévues par la loi, une copie de l'autorisation respective accordée par le titulaire

● Traiter les demandes et réclamations des Titulaires conformément aux dispositions de l'article 14 de la loi 1581 de 2012

● Informer la personne concernée, sur demande, de l’utilisation faite de ses données ; Concernant le responsable du traitement :

Veillez à ce que les informations fournies au sous-traitant des données soient véridiques, complètes, exactes, à jour, vérifiables et compréhensibles ;

Mettre à jour les informations, en communiquant rapidement au responsable du traitement des données tous les changements concernant les données précédemment fournies et prendre toutes les autres mesures nécessaires pour garantir que les informations fournies au responsable du traitement des données restent à jour ;

Corrigez les informations lorsqu'elles sont incorrectes et communiquez les informations pertinentes au responsable du traitement des données ;

Informer le responsable du traitement des données lorsque certaines informations font l'objet d'une discussion par la personne concernée, une fois la plainte déposée et la procédure correspondante non terminée ;

Ne fournissez au sous-traitant des données, le cas échéant, que les données dont le traitement a été préalablement autorisé conformément aux dispositions de la présente loi ;

Exiger du sous-traitant qu’il respecte en tout temps les conditions de sécurité et de confidentialité des informations de la personne concernée ;

Concernant les principes et autres obligations :

Respectez les principes de légalité, de finalité, de liberté, de qualité, de véracité, de transparence, d'accès et de diffusion restreinte, de sécurité et de confidentialité.

Adoptez un manuel interne de politiques et de procédures pour assurer le respect de cette loi et, en particulier, pour traiter les demandes de renseignements et les plaintes ;

Informez l'autorité de protection des données en cas de violation du code de sécurité et de risques liés à la gestion des informations des personnes concernées.

Se conformer aux instructions et exigences émises par la Surintendance de l'industrie et du commerce.

Conserver les informations dans les conditions de sécurité nécessaires pour empêcher leur altération, leur perte, leur accès, leur utilisation ou leur divulgation non autorisés ou frauduleux.


10.1 OBLIGATIONS DU SOUS-TRAITANT DE DONNÉES

MuchoSur, en sa qualité de sous-traitant de données, doit remplir les obligations suivantes, sans préjudice des autres dispositions de la présente loi et des autres lois régissant son activité :

● Garantir au titulaire, à tout moment, l’exercice plein et effectif du droit d’habeas data ;

● Conserver les informations dans les conditions de sécurité nécessaires pour empêcher leur altération, leur perte, leur consultation, leur utilisation ou leur accès non autorisé ou frauduleux ;

● Mettre à jour, rectifier ou supprimer rapidement les données conformément aux dispositions de la présente loi ;

● Mettre à jour les informations communiquées par les responsables du traitement des données dans un délai de cinq (5) jours ouvrables à compter de leur réception ;

● Traiter les demandes de renseignements et les plaintes formulées par les titulaires conformément aux dispositions de la présente loi ;

● Adopter un manuel interne de politiques et de procédures pour assurer le respect de cette loi et, en particulier, pour traiter les demandes et les plaintes des personnes concernées ;

● Inscrire dans la base de données la mention « demande en cours » de la manière prévue par la présente loi ;

● Insérer la mention « information faisant l’objet d’une discussion judiciaire » dans la base de données une fois notifiée par l’autorité compétente les procédures judiciaires relatives à la qualité des données personnelles ;

● S’abstenir de diffuser des informations contestées par le Titulaire et dont le blocage a été ordonné par la Surintendance de l’Industrie et du Commerce ;

● N’autoriser l’accès à l’information qu’aux personnes autorisées à y accéder ;

● Signaler à la Surintendance de l’industrie et du commerce toute violation des codes de sécurité et tout risque lié à la gestion des informations des détenteurs ;

● Se conformer aux instructions et exigences émises par la Surintendance de l'industrie et du commerce.


10.2 ATTENTION AUX PERSONNES CONCERNÉES

MuchoSur a désigné un délégué à la protection des données (DPO) chargé de traiter les demandes, questions et réclamations relatives à la protection des données personnelles. Les personnes concernées peuvent soumettre leurs demandes ou questions par les canaux suivants :

Courriel : notificaciones.judiciales@sht.com.co Adresse : CR 13 26 30, BOGOTÁ DC - BOGOTÁ DC Téléphones : 3820300 - 3160235242


10.3 MODALITÉS D'EXERCICE DES DROITS DU TITULAIRE : DROIT D'ACCÈS

MuchoSur garantit au Titulaire la consultation gratuite de ses données personnelles dans les cas suivants (article 2.2.2.25.4.2, section 4, chapitre 25 du décret 1074 de 2015) :

Au moins une fois par mois civil.

Chaque fois que des changements substantiels apportés aux politiques de traitement de l'information justifient de nouvelles consultations.

Pour plus d'une demande par mois civil, MuchoSur peut facturer au titulaire du compte les frais d'expédition, de reproduction et, le cas échéant, de certification des documents. Les frais de reproduction ne peuvent excéder le coût de récupération des documents originaux. MuchoSur fournira à la Surintendance de l'industrie et du commerce les justificatifs de ces dépenses sur demande.

La personne concernée peut exercer son droit d'accès ou de consultation de ses données en adressant une demande écrite à MuchoSur, soit par courriel à l'adresse notificaciones.judiciales@sht.com.co, en indiquant dans l'objet « Exercice du droit d'accès ou de consultation », soit par courrier postal à l'adresse suivante : CR 13 26 30, BOGOTÁ DC - BOGOTÁ DC. La demande doit contenir les informations suivantes :

Nom et prénom du titulaire.

Photocopie de la carte de citoyenneté du titulaire et, le cas échéant, de la personne qui le représente, ainsi que du document attestant cette représentation.

Pétition précisant la demande d'accès ou de consultation.

Adresse pour les notifications, date et signature du demandeur.

Pièces justificatives à l’appui de la demande, le cas échéant. La personne concernée peut choisir l’une des méthodes suivantes pour consulter la base de données et obtenir les informations demandées :

Affichage à l'écran.

Par écrit, avec une copie ou une photocopie envoyée par courrier recommandé ou non recommandé.

Courriel ou autres moyens électroniques.

MuchoSur propose un autre système adapté à la configuration de la base de données ou à la nature du traitement.

Dès réception de la demande, MuchoSur y répondra dans un délai maximal de dix (10) jours ouvrables à compter de sa réception. Si ce délai ne peut être respecté, la personne concernée sera informée des motifs du retard et de la date à laquelle sa demande sera traitée, laquelle ne pourra en aucun cas excéder cinq (5) jours ouvrables après l'expiration du délai initial. Ces délais sont fixés par l'article 14 de la LEPD.

Une fois le processus de consultation terminé, le titulaire ou son successeur peut déposer une plainte auprès de la Surintendance de l'industrie et du commerce.


11. RÉCLAMATIONS

La personne concernée peut exercer son droit de porter plainte concernant ses données en adressant une demande écrite à MuchoSur, soit par courriel à notificaciones.judiciales@sht.com.co, en indiquant dans l’objet « Exercice du droit d’accès ou de consultation », soit par courrier postal à l’adresse suivante : CR 13 26 30, BOGOTÁ DC - BOGOTÁ DC. La demande doit contenir les informations suivantes :

Nom et prénom du titulaire.

Photocopie de la carte de citoyenneté du titulaire et, le cas échéant, de la personne qui le représente, ainsi que du document attestant cette représentation.

Description des faits et requête précisant la demande de rectification, de suppression, de révocation ou d'ajustement.

Adresse pour les notifications, date et signature du demandeur.

Documents justificatifs à l'appui de la demande que vous souhaitez utiliser, le cas échéant.

Si la demande est incomplète, la partie intéressée devra la compléter dans un délai de cinq (5) jours à compter de sa réception. À défaut de fournir les informations requises dans un délai de deux (2) mois à compter de la date de la demande, celle-ci sera considérée comme abandonnée.

Une fois la réclamation complète reçue, une mention « réclamation en cours de traitement » et le motif de la réclamation seront ajoutés à la base de données dans un délai maximal de deux (2) jours ouvrables. Cette mention restera affichée jusqu'au règlement de la réclamation.

MuchoSur traitera la réclamation dans un délai maximal de quinze (15) jours ouvrables à compter de sa réception. Si le traitement de la réclamation s'avère impossible dans ce délai, la personne concernée sera informée des motifs du retard et de la date de traitement, laquelle ne pourra en aucun cas excéder huit (8) jours ouvrables après l'expiration du délai initial.

Une fois la procédure de réclamation épuisée, le titulaire ou son successeur peut déposer une plainte auprès de la Surintendance de l'industrie et du commerce.


11.1 AUTORISÉ À RECEVOIR DES INFORMATIONS

MuchoSur communiquera les informations des personnes concernées figurant dans ses bases de données aux personnes suivantes, autorisées ou habilitées à les recevoir, conformément à l'article 13 de la loi 1581 de 2012 :

Aux titulaires, à leurs successeurs ou à leurs représentants légaux ;

Aux entités publiques ou administratives dans l’exercice de leurs fonctions légales ou par décision de justice ;

Aux tiers autorisés par le propriétaire ou par la loi.


11.2 VÉRIFICATION DE L'AUTORITÉ À DEMANDER OU À RECEVOIR DES INFORMATIONS

Pour traiter une demande de consultation ou une plainte, le demandeur doit fournir les documents suivants pour prouver sa propriété ou son autorité à recevoir les informations requises, selon les cas suivants :

Titulaire : Copie de la pièce d'identité.

Successeur : pièce d’identité, acte de décès du titulaire, document attestant de sa qualité en vertu de laquelle il/elle agit et copie de la pièce d’identité du titulaire.

Représentant légal et/ou mandataire : pièce d’identité valide, document attestant de la qualité en laquelle il/elle agit (procuration) et copie de la pièce d’identité du titulaire.


12. TRAITEMENT DES DONNÉES DANS LES SYSTÈMES DE VIDÉOSURVEILLANCE

MuchoSur informera le public de l'existence de systèmes de vidéosurveillance en affichant des avis visibles et accessibles à tous, installés dans les zones sous vidéosurveillance, principalement aux entrées et à l'intérieur des locaux surveillés. Ces avis indiqueront l'identité du responsable du traitement des données, les finalités du traitement, les droits des personnes concernées, les moyens de les exercer et l'adresse où est publiée la politique de confidentialité.

De plus, elle ne conservera les images que pendant la durée strictement nécessaire à la réalisation de l'objectif et enregistrera la base de données qui stocke les images dans le Registre national des bases de données, sauf si le traitement consiste uniquement en la reproduction ou la diffusion d'images en temps réel.

L’accès aux images et leur divulgation seront limités aux personnes autorisées par la personne concernée et/ou à la demande d’une autorité agissant dans le cadre de ses fonctions. En conséquence, la divulgation des informations collectées sera contrôlée et conforme à la finalité définie par le responsable du traitement.


13. MESURES DE SÉCURITÉ

MuchoSur, afin de se conformer au principe de sécurité consacré à l'article 4, paragraphe g) de la LEPD, a mis en œuvre les mesures techniques, humaines et administratives nécessaires pour garantir la sécurité des enregistrements, empêchant leur altération, leur perte, leur consultation, leur utilisation ou leur accès non autorisé ou frauduleux.

Par ailleurs, MuchoSur, par la signature des contrats de transmission correspondants, a exigé des sous-traitants de données avec lesquels elle travaille qu'ils mettent en œuvre les mesures de sécurité nécessaires pour garantir la sécurité et la confidentialité des informations lors du traitement des données personnelles.

Voici les mesures de sécurité mises en œuvre par MuchoSur qui sont incluses et développées dans ses politiques de sécurité interne PL-02 (tableaux I, II, III et IV).

TABLEAU I : Mesures de sécurité communes pour tous les types de données (publiques, privées, confidentielles, à accès restreint) et de bases de données (automatisées, non automatisées)

Gestion des documents et des médias

1. Mesures visant à empêcher l’accès non autorisé à des données qui ont été jetées, supprimées ou détruites, ou leur récupération.

2. Accès restreint au lieu de stockage des données.

3. Autorisation de la personne responsable de la gestion des bases de données pour la diffusion de documents ou de supports par des moyens physiques ou électroniques.

4. Système d'étiquetage ou d'identification du type d'information.

5. Inventaire des supports.

6. L’accès des utilisateurs est limité aux données nécessaires à l’exercice de leurs fonctions.

Contrôle d'accès

1. Liste mise à jour des utilisateurs et des accès autorisés.

2. Mécanismes permettant d’empêcher l’accès aux données par des personnes ayant des droits autres que ceux autorisés.

3. Octroi, modification ou annulation des permis par le personnel autorisé

TABLEAU I : Mesures de sécurité communes pour tous les types de données (publiques, privées, confidentielles, à accès restreint) et de bases de données (automatisées, non automatisées)

Incidents

1. Journal des incidents : type d'incident, heure à laquelle il s'est produit, expéditeur de la notification, destinataire de la notification, effets et mesures correctives.

2. Procédure de notification et de gestion des incidents.

Personnel

1. Définition des fonctions et des obligations des utilisateurs ayant accès aux données.

2. Définition des fonctions de contrôle et des autorisations déléguées par le responsable du traitement des données.

3. Diffusion auprès du personnel des règles et des conséquences du non-respect.

Manuel de sécurité intérieure

1. Élaboration et mise en œuvre du manuel obligatoire du personnel.

2. Contenu minimal : champ d’application, mesures et procédures de sécurité, fonctions et obligations du personnel, description des bases de données, procédure en cas d’incident, identification des sous-traitants.

Bases de données non automatisées

Archive

1. Archivage de la documentation selon des procédures garantissant une conservation, une localisation et une consultation adéquates, permettant l’exercice des droits des titulaires.

archivage de documents

2. Dispositifs de stockage dotés de mécanismes empêchant l'accès aux personnes non autorisées.

Garde de documents

3. Obligation de diligence et de conservation des documents par la personne responsable pendant leur examen ou leur traitement.

Bases de données automatisées

Identification et authentification

1. Identification personnalisée des utilisateurs pour accéder aux systèmes d'information et vérification de leur autorisation.

2. Mécanismes d'identification et d'authentification ; Mots de passe : attribution et expiration.

Télécommunications

1. Accès aux données via des réseaux sécurisés.

TABLEAU III : Mesures de sécurité pour les données privées selon le type de bases de données

Bases de données non automatisées

Audit

1. Audit ordinaire (interne ou externe) tous les deux mois.

2. Audit extraordinaire en raison de modifications substantielles apportées aux systèmes d'information.

3. Rapport sur la détection des lacunes et proposition de corrections.

4. Analyse et conclusions du responsable de la sécurité et du responsable du traitement des données.

Agent de sécurité

1. Nomination d'un ou plusieurs administrateurs de bases de données.

2. Désignation d’une ou plusieurs personnes chargées du contrôle et de la coordination des mesures du Manuel de sécurité intérieure.

3. Interdiction de déléguer la responsabilité du responsable du traitement des données aux administrateurs de bases de données.

Manuel de sécurité intérieure

1. Contrôles de conformité périodiques.

Bases de données automatisées, gestion de documents et de médias

1. Enregistrement des documents et supports entrants et sortants : date, expéditeur et destinataire, nombre, type d’information, mode de transmission, personne responsable de la réception ou de la transmission. Contrôle d’accès

2. Contrôle d'accès au ou aux lieux où se trouvent les systèmes d'information.

Identification et authentification

1. Mécanisme visant à limiter le nombre de tentatives d'accès non autorisées répétées.

2. Mécanismes de chiffrement des données pour la transmission.

Incidents

1. Enregistrement des procédures de récupération des données, de la personne qui les a effectuées, des données restaurées et des données enregistrées manuellement.

2. Autorisation du responsable du traitement des données pour l’exécution des procédures de récupération.

TABLEAU IV : Mesures de sécurité pour les données sensibles selon le type de bases de données

Bases de données non automatisées

Contrôle d'accès

1. Accès réservé au personnel autorisé.

2. Mécanisme d'identification d'accès.

3. Journal des accès utilisateurs non autorisés.

4. Destruction empêchant l'accès aux données ou leur récupération.

archivage de documents

1. Classeurs, armoires ou autres meubles situés dans des zones d'accès protégées par des serrures ou d'autres mesures.

2. Mesures visant à empêcher l’accès aux documents stockés physiquement ou leur manipulation.

Bases de données automatisées

Contrôle d'accès

1. Système d'étiquetage confidentiel.

Identification et authentification

1. Mécanismes de chiffrement des données pour la transmission et le stockage.

archivage de documents

1. Journal d'accès : utilisateur, heure, base de données consultée, type d'accès, enregistrement consulté

2. Contrôle des accès par l'agent de sécurité. Rapport mensuel.

Télécommunications

1. Accès et transmission de données via des réseaux électroniques sécurisés.

2. Transmission de données via des réseaux cryptés (VPN).


14. COOKIES OU BUGS WEB

MuchoSur peut collecter des informations personnelles auprès de ses utilisateurs lorsqu'ils utilisent le site web, l'application ou les pages liées (pages de destination). Les utilisateurs peuvent choisir de stocker ces informations personnelles sur le site web, l'application ou le portail lié (page de destination) afin de faciliter les transactions et les services fournis par MuchoSur et/ou ses portails liés (pages de destination). Par conséquent, MuchoSur utilise diverses technologies de suivi et de collecte de données, telles que les cookies internes et tiers. Cet outil d'analyse aide les propriétaires de sites web et d'applications à comprendre comment les visiteurs interagissent avec leurs plateformes. Cet outil peut utiliser un ensemble de cookies pour collecter des informations et fournir des statistiques d'utilisation du site web sans identifier personnellement les visiteurs. Ces informations nous permettent de comprendre vos habitudes de navigation et de vous proposer des services personnalisés. MuchoSur peut utiliser ces technologies pour vous authentifier, mémoriser vos préférences d'utilisation du site web, de l'application et des pages liées (pages de destination), vous présenter des offres susceptibles de vous intéresser et faciliter les transactions, analyser l'utilisation du site web, de l'application ou des pages liées et de leurs services, utiliser ces données de manière agrégée ou les combiner avec les informations personnelles que nous possédons et les partager avec des entités autorisées.

Si un utilisateur ne souhaite pas que ses informations personnelles soient collectées par le biais de cookies, il peut modifier les paramètres de son navigateur. Toutefois, il est important de noter que si un navigateur n'accepte pas les cookies, certaines fonctionnalités du site web, de l'application et/ou des pages liées (pages de destination) peuvent être indisponibles ou ne pas fonctionner correctement. Vous pouvez autoriser, bloquer ou supprimer les cookies installés sur votre appareil en configurant les paramètres de votre navigateur comme suit :

Chrome

Microsoft Edge

Firefox

Safari


15. PROCÉDURE DE NOTIFICATION, DE GESTION ET D'INTERVENTION EN CAS D'INCIDENT

MuchoSur met en place une procédure de notification, de gestion et de réponse aux incidents afin de garantir la confidentialité, la disponibilité et l'intégrité des informations contenues dans les bases de données dont elle a la responsabilité.

Les utilisateurs et les responsables des procédures, ainsi que toute personne impliquée dans le stockage, le traitement ou la consultation des bases de données incluses dans ce document, doivent connaître la procédure à suivre en cas d'incident.

La procédure de notification, de gestion et de réponse aux incidents est la suivante :

● Lorsqu'une personne a connaissance d'un incident (perte, vol et/ou accès non autorisé) qui affecte ou pourrait affecter la confidentialité, la disponibilité et l'intégrité des informations protégées de l'entreprise ou de l'un des sous-traitants, elle doit le signaler immédiatement au délégué à la protection des données, à l'adresse électronique suivante : notificaciones.judiciales@sht.com.co, en décrivant en détail le type d'incident survenu et en indiquant les personnes qui pourraient y être liées, la date et l'heure de l'incident, la personne qui le signale, la personne à qui il est signalé et les conséquences qu'il a produites.

● Une fois l’incident signalé, vous devez demander un accusé de réception au délégué à la protection des données, qui doit inclure la notification de l’incident avec toutes les exigences énumérées ci-dessus.

MuchoSur crée un journal des incidents qui doit contenir : le type d’incident (fraude interne ou externe, dommages matériels, défaillances techniques, exécution et administration des processus), la date et l’heure de l’incident, la personne qui le signale, la personne à qui il est signalé, les conséquences de l’incident et les mesures correctives, le cas échéant. Ce journal est géré par le délégué à la protection des données ; voir le document FR-08 : Journal des incidents de sécurité.

● Vous devez également mettre en œuvre des procédures de récupération de données, le cas échéant, en indiquant qui effectue le processus, les données restaurées et, le cas échéant, les données qui ont nécessité un enregistrement manuel pendant le processus de récupération.

● De plus, le délégué à la protection des données doit informer la Surintendance de l’industrie et du commerce, par l’intermédiaire du RNBD, dans les 15 jours ouvrables suivant la détection.

● Enfin, MuchoSur informera les détenteurs de titres de l’incident lorsqu’il sera établi qu’ils pourraient être significativement affectés.


16. GESTION DES RISQUES LIÉS AU TRAITEMENT DES DONNÉES

MuchoSur a identifié les risques liés au traitement des données personnelles et mis en place des contrôles pour en atténuer les causes, conformément à la politique de sécurité interne PL-02. Par conséquent, un système de gestion des risques, assorti des outils, indicateurs et ressources nécessaires à son administration, sera mis en place lorsque la structure organisationnelle, les processus et procédures internes, le nombre de bases de données et les types de données personnelles traitées par l'organisation seront considérés comme exposés à des événements ou situations fréquents ou à fort impact susceptibles d'affecter la bonne fourniture du service ou de menacer les informations des personnes concernées.

Le système de gestion des risques identifiera les sources de risques (technologies, ressources humaines, infrastructures et processus) nécessitant une protection, leurs vulnérabilités et les menaces qui y sont associées, afin d'évaluer leur niveau de risque. Par conséquent, pour garantir la protection des données personnelles, le type et le groupe de personnes internes et externes concernées, ainsi que les différents niveaux d'autorisation d'accès, seront pris en compte. De même, la possibilité de tout événement ou action susceptible de causer un dommage (matériel ou immatériel) sera surveillée, notamment :

● Criminalité : Comprise comme l'ensemble des actions, causées par une intervention humaine, qui violent la loi et sont sanctionnées par celle-ci.

● Événements d’origine physique : compris comme des événements naturels et techniques, ainsi que des événements indirectement causés par une intervention humaine.

• Négligence et décisions institutionnelles : Il s’agit des actions, décisions ou omissions d’individus ayant pouvoir et influence sur le système. Ce sont par ailleurs les menaces les moins prévisibles, car elles sont directement liées au comportement humain.

● MuchoSur. Dans le cadre de son programme de gestion des risques, MuchoSur mettra en œuvre des mesures de protection afin de prévenir ou de minimiser les dommages en cas de matérialisation d'une menace.


17. TRANSMISSION DES DONNÉES PERSONNELLES AUX AUTORITÉS

Lorsqu'une autorité publique ou administrative, agissant dans le cadre de ses fonctions légales ou sur décision de justice, demande l'accès à des données personnelles contenues dans les bases de données de MuchoSur et/ou leur communication, la légalité de la demande et la pertinence des données demandées au regard de la finalité indiquée par l'autorité sont vérifiées. Dès la communication des données, un procès-verbal est établi, mentionnant l'identité de l'autorité requérante et la nature des données personnelles demandées, et précisant l'obligation de garantir les droits de la personne concernée, tant à l'autorité requérante qu'au destinataire de la demande et à l'autorité requérante.


18. TRANSFERT ET TRANSMISSION INTERNATIONAUX DE DONNÉES PERSONNELLES

MuchoSur transférera des données personnelles vers des pays assurant un niveau de protection des données adéquat. Un pays est considéré comme assurant un niveau de protection des données adéquat lorsqu'il respecte les normes fixées par la Surintendance de l'industrie et du commerce en la matière, lesquelles ne peuvent en aucun cas être inférieures à celles requises par la loi n° 1581 de 2012. Cette interdiction ne s'applique pas lorsque :

● Informations pour lesquelles le Titulaire a donné son autorisation expresse et sans équivoque pour le transfert.

● Échange de données médicales, lorsque le traitement du titulaire l’exige pour des raisons de santé ou d’hygiène publique.

● Virements bancaires ou boursiers, conformément à la législation qui leur est applicable.

● Transferts convenus dans le cadre de traités internationaux auxquels la République de Colombie est partie, fondés sur le principe de réciprocité.

● Transferts nécessaires à l’exécution d’un contrat entre la personne concernée et le responsable du traitement, ou à l’exécution de mesures précontractuelles à condition que la personne concernée ait donné son consentement.

● Transferts légalement nécessaires à la sauvegarde de l’intérêt public ou à la reconnaissance, à l’exercice ou à la défense d’un droit dans le cadre d’une procédure judiciaire.

Dans les cas où le transfert de données est nécessaire et que le pays de destination ne figure pas sur la liste des pays considérés comme ports sûrs indiquée par la Surintendance de l'industrie et du commerce, une déclaration de conformité relative à l'approbation du transfert international de données personnelles doit être obtenue auprès de cette même entité.

Les transferts internationaux de données personnelles entre MuchoSur et un sous-traitant, permettant à ce dernier d'effectuer des traitements pour le compte du responsable du traitement, ne nécessitent ni notification à la personne concernée ni son consentement, sous réserve de l'existence d'une convention de transfert de données personnelles. Cette convention doit être signée entre le responsable du traitement et le sous-traitant afin de définir l'étendue des traitements de données personnelles relevant de leur contrôle et de leur responsabilité, ainsi que les activités que le sous-traitant réalisera pour le compte du responsable du traitement et ses obligations envers la personne concernée. Par ailleurs, le sous-traitant est tenu de respecter les obligations suivantes et d'appliquer la réglementation relative à la protection des données en vigueur en Colombie.

● Traiter, pour le compte du responsable du traitement, les données personnelles conformément aux principes qui les protègent.

● Garantir la sécurité des bases de données contenant des données personnelles.

● Garantir la confidentialité du traitement des données personnelles. Les conditions susmentionnées établies pour les transferts internationaux de données s'appliquent également aux transferts nationaux.


19. TRAITEMENT DES DONNÉES BIOMÉTRIQUES

Les données biométriques stockées dans les bases de données sont collectées et traitées exclusivement à des fins de sécurité, afin de vérifier l'identité des personnes et de contrôler l'accès des employés, des clients et des visiteurs. Les systèmes d'identification biométrique capturent, traitent et stockent des informations relatives, entre autres, aux caractéristiques physiques des personnes (empreintes digitales, reconnaissance vocale et traits du visage) afin d'établir ou d'« authentifier » l'identité de chaque individu.

L'administration des bases de données biométriques est réalisée avec des mesures de sécurité techniques qui garantissent le respect des principes et obligations découlant de la loi sur la protection des données, assurant également la confidentialité et le respect de la vie privée des informations des propriétaires.


20. REGISTRE NATIONAL DES BASES DE DONNÉES – RNBD

Le délai d'enregistrement des bases de données au Registre national des bases de données (RNBD) est celui fixé par la loi. Par ailleurs, conformément à l'article 12 du décret n° 886 de 2014, les responsables du traitement des données doivent enregistrer leurs bases de données au RNBD à la date d'ouverture de cet enregistrement par la Surintendance de l'industrie et du commerce, selon les instructions qu'elle émet. Les bases de données créées après ce délai doivent être enregistrées dans un délai de deux (2) mois suivant leur création.


21. SÉCURITÉ DE L'INFORMATION

Le respect du cadre réglementaire relatif à la protection des données personnelles, ainsi que la sécurité, la confidentialité et la protection des informations stockées dans les bases de données, sont essentiels pour MuchoSur. C'est pourquoi nous avons mis en place des politiques, des directives, des procédures et des normes de sécurité de l'information, susceptibles d'évoluer afin de s'adapter aux nouvelles réglementations et aux besoins de MuchoSur. L'objectif de ces politiques est de protéger et de préserver l'intégrité, la confidentialité et la disponibilité des données personnelles.

De même, nous garantissons que lors de la collecte, du stockage, de l'utilisation et/ou du traitement, de la destruction ou de l'élimination des informations fournies, nous nous appuyons sur des outils de sécurité technologiques et mettons en œuvre des pratiques de sécurité qui comprennent : la transmission et le stockage des informations sensibles par le biais de mécanismes sécurisés, l'utilisation de protocoles sécurisés, la sécurisation des composants technologiques, la restriction de l'accès aux informations au seul personnel autorisé, la sauvegarde des informations, des pratiques de développement logiciel sécurisées, entre autres.

Dans le cas où la transmission d'informations à un tiers s'avérerait nécessaire en raison d'une relation contractuelle, nous signerons un accord de transfert afin de garantir la confidentialité et la sécurité des informations, ainsi que le respect de la présente Politique de traitement des données, des politiques et manuels de sécurité de l'information et des protocoles de prise en charge des personnes concernées établis chez MuchoSur. Nous nous engageons en tout état de cause à assurer la protection, la sécurité et la préservation de la confidentialité, de l'intégrité et du respect de la vie privée des données stockées.


22. GESTION DES DOCUMENTS

Les documents contenant des données personnelles doivent être facilement accessibles. Par conséquent, l'emplacement de chaque document, physique et numérique, doit être documenté. Ces lieux de stockage doivent être inspectés régulièrement. Leur conservation doit être garantie par une définition claire du support et des conditions de stockage, en tenant compte notamment des conditions environnementales, des lieux de stockage et des risques potentiels. La durée de conservation des documents est déterminée par les exigences légales applicables ; chaque organisation la définit également en fonction de ses besoins. Le devenir final de ces documents doit également être clairement défini, en précisant s'ils sont recyclés, réutilisés, archivés, numérisés ou font l'objet d'autres options. Les documents relatifs à la protection des données personnelles doivent être élaborés par du personnel ou des entités compétentes. L'organisation doit également examiner et approuver tous les documents et consigner cette approbation dans le champ prévu à cet effet.

Pour être facilement traçables, les documents doivent être codés, mis à jour et modifiés par le personnel responsable. Cette modification sera effectuée chaque fois que nécessaire. La suppression d'un document doit être justifiée et consignée dans l'historique figurant au bas de chaque document.

Les documents physiques et numériques contenant des données personnelles doivent être protégés contre les agents externes ou internes susceptibles d'en altérer le contenu, conformément aux directives décrites dans le manuel de politique de sécurité interne PL-02.

La distribution des documents contenant des données personnelles sera effectuée par le responsable du traitement des données, qui documentera la preuve de cette distribution, en précisant notamment le type de document et l'identification de la personne à qui les informations ont été remises.

Il convient de désigner une personne chargée de garantir la confidentialité des données personnelles des personnes concernées. Cette personne sera responsable de la protection des documents, de leur conservation physique et numérique, de la prévention de toute altération des informations et de l'identification et de la traçabilité aisée des documents quittant sa garde.

MuchoSur se réserve le droit d'apporter des modifications ou des mises à jour à la présente politique à tout moment, afin de tenir compte des nouvelles législations, des politiques internes ou des nouvelles exigences relatives à la fourniture ou à l'offre de ses services ou produits.


23. VALIDITÉ

La présente politique mise à jour entrera en vigueur le 1er septembre 2023. Les bases de données sous la responsabilité de MuchoSur seront traitées pendant la durée raisonnable et nécessaire aux fins pour lesquelles les données sont collectées et conformément à l'autorisation accordée par les personnes concernées.