1.- Déclaration de principes
Le Groupe PAPREC est un ensemble d’entités spécialisées dans la gestion globale des déchets et les services environnementaux. Dans le cadre de ses activités, PAPREC considère l’information et les données à caractère personnel comme des actifs de grande valeur dont la protection est essentielle pour garantir la continuité de ses activités, la confiance de ses clients et le respect des exigences réglementaires.
Conscient de cette responsabilité, PAPREC établit la présente Politique de Sécurité de l’Information comme cadre de référence pour protéger la confidentialité, l’intégrité, la disponibilité, l’authenticité et la traçabilité de l’information, ainsi que pour garantir sa conformité avec la législation applicable.
La sécurité de l’information et la protection de la vie privée font partie intégrante de la culture d’entreprise de PAPREC et sont prises en compte à toutes les étapes du cycle de vie des systèmes, services et processus de l’organisation.
2.- Objectifs généraux
La Politique de Sécurité vise à établir les principes et lignes directrices permettant de :
- Protéger l’information et les données contre les menaces internes ou externes, intentionnelles ou accidentelles.
- Garantir la continuité des services et des opérations.
- Respecter les exigences légales, réglementaires et contractuelles applicables.
- Protéger les données à caractère personnel conformément à la réglementation en vigueur.
- Assurer une gestion efficace des risques liés à la sécurité de l’information.
Les mesures de sécurité sont définies et mises en œuvre en tenant compte de l’analyse des risques ainsi que de l’équilibre entre le niveau de risque acceptable et le coût des mesures déployées.
3.- Engagement de la Direction Générale
La Direction Générale de PAPREC affirme son engagement ferme en faveur de la Sécurité de l’Information et de la Protection de la Vie Privée et s’engage à :
- Intégrer la sécurité de l’information comme un élément clé de la stratégie de l’entreprise.
- Garantir le respect de la législation applicable, notamment en matière de protection des données à caractère personnel.
- Promouvoir l’amélioration continue des processus et des contrôles de sécurité.
- Fournir les ressources nécessaires au maintien d’un niveau de sécurité approprié.
- Assurer la continuité des activités grâce à des plans et procédures adaptés.
- Favoriser la formation et la sensibilisation du personnel à la sécurité de l’information.
- Encourager des relations responsables avec les clients, fournisseurs et autres parties prenantes en matière de sécurité de l’information.
4.- Principes de la sécurité de l’information
PAPREC fonde sa gestion de la sécurité de l’information sur les principes fondamentaux suivants :
- Confidentialité : l’information n’est accessible qu’aux personnes dûment autorisées.
- Intégrité : l’exactitude et l’exhaustivité de l’information ainsi que des systèmes qui la traitent sont garanties.
- Disponibilité : l’information et les services sont disponibles lorsqu’ils sont nécessaires.
- Authenticité : l’identité des personnes et des systèmes qui accèdent à l’information ou la génèrent est assurée.
- Traçabilité : les actions réalisées sur l’information peuvent être attribuées de manière non équivoque.
- Conformité réglementaire : l’information est gérée conformément aux exigences légales, éthiques et professionnelles applicables.
5.- Protection des données à caractère personnel
Dans le cadre de ses activités, PAPREC traite des données à caractère personnel et s’engage à respecter les principes établis par la réglementation applicable en matière de protection des données, notamment :
- Licéité, loyauté et transparence.
- Limitation des finalités.
- Minimisation des données.
- Exactitude.
- Limitation de la durée de conservation.
- Intégrité et confidentialité.
- Responsabilité proactive.
PAPREC met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques liés au traitement des données à caractère personnel.
6.- Organisation de la sécurité
La sécurité de l’information relève de la responsabilité de l’ensemble de l’organisation. PAPREC dispose d’une structure organisationnelle permettant de :
- Définir les responsabilités en matière de sécurité.
- Coordonner la gestion de la sécurité de l’information.
- Contrôler le respect de la présente Politique.
- Gérer efficacement les incidents de sécurité.
Les détails opérationnels de cette organisation sont définis dans la documentation interne.
7.- Gestion des risques
PAPREC identifie, analyse et gère régulièrement les risques susceptibles d’affecter la sécurité de l’information et la protection des données à caractère personnel, en mettant en œuvre les mesures nécessaires pour réduire ces risques à un niveau acceptable.
8.- Sensibilisation et obligations du personnel
L’ensemble du personnel de PAPREC est tenu de connaître et de respecter la présente Politique de Sécurité ainsi que les règles et procédures qui en découlent. L’organisation encourage des actions permanentes de formation et de sensibilisation afin de garantir une solide culture de la sécurité de l’information.
9.- Tiers
Lorsque PAPREC collabore avec des tiers ou leur donne accès à des informations ou à des services, il s’assure que ces tiers respectent un niveau de sécurité approprié et la réglementation applicable, au moyen d’accords contractuels et de contrôles proportionnés au niveau de risque.
10.- Révision et amélioration
La présente Politique de Sécurité est révisée périodiquement afin de garantir son adéquation avec le contexte de l’organisation, les évolutions technologiques, les risques émergents et la réglementation applicable.
11.- Législation applicable
La présente Politique s’aligne notamment sur les réglementations suivantes :
- Schéma National de Sécurité (Esquema Nacional de Seguridad).
- Règlement Général sur la Protection des Données (UE) 2016/679.
- Loi Organique 3/2018 relative à la protection des données personnelles et à la garantie des droits numériques.
- Législation applicable en matière de services de la société de l’information et de sécurité.