Nos coordonnées
e-Vconsult srl – Rue Théophile Piat 13 1300 Wavre -Belgique – BE0891.915.097 – support@evconsult.net
Il est important que nous vous informions quelles données personnelles sont collectées lorsque vous utilisez notre site Web et nos produits, de la manière dont elles sont traitées et des droits dont vous disposez à cet égard. Dans les informations suivantes relatives à la protection des données, nous résumons ces informations pour vous.
1. Introduction
Dans l’exercice de ses activités E-VCONSULT SRL traite diverses données, tant des données commerciales qu’à caractère personnel. La présente politique porte sur le traitement de données à caractère personnel par E-VCONSULT SRL Les données à caractère personnel de diverses catégories de personnes identifiables sont traitées, par exemple les travailleurs, les clients et les fournisseurs, les utilisateurs du site web, les abonnés et autres parties prenantes.
E-VCONSULT SRL comprend l’importance de la protection des données à caractère personnel et les préoccupations de ses travailleurs, clients, fournisseurs et autres personnes avec lesquelles elle entretient des contacts en termes de traitement de leurs données à caractère personnel. Lorsqu’elle traite des données à caractère personnel, E-VCONSULT SRL tient toujours soigneusement compte de leur protection.
Diverses personnes au sein de l’organisation peuvent avoir accès aux données personnelles de ses employés et tous ceux qui travaillent pour E-VCONSULT SRL, y compris les prestataires de services et consultants indépendants, les travailleurs temporaires tels que les intérimaires, stagiaires, étudiants, bénévoles, anciens travailleurs) et d’autres personnes (clients et fournisseurs) dans l’exercice de leur fonction. Chacune de ces personnes au sein d’E-VCONSULT SRL est liée par la présente politique de protection des données à caractère personnel.
Le règlement applicable en matière de protection des données impose des obligations à E-VCONSULT SRL concernant la façon dont elle doit traiter les données. De plus, la réglementation prévoit des droits pour les personnes dont les données sont traitées, pour qu’elles aient plus de contrôle sur leurs données à caractère personnel.
La présente politique donne un aperçu des obligations générales que l’entreprise et ses travailleurs se doivent de respecter dans le cadre de la réglementation en matière de protection des données. Le respect de la présente politique est important pour les motifs suivants :
• le respect de la réglementation en matière de protection des données est une obligation légale. Le non-respect de ces devoirs peut générer une responsabilité, des sanctions et des amendes.
• Le respect de la réglementation en matière de protection des données débouche sur un traitement plus correct et efficace des données à caractère personnel.
• Le respect de la réglementation en matière de protection des données forme la base d’une relation de confiance entre E-VCONSULT SRL et ses relations d’affaires, les consommateurs et ses travailleurs.
2. Champ d’application
La présente politique s’applique à E-VCONSULT SRL qui traite les données à caractère personnel et comprend les lignes directrices auxquelles tout traitement de données doit se conformer, que ce soit par un procédé totalement ou partiellement automatisé, et qui font ou feront partie d’un fichier structuré.
3. Data Protection Officer / Point de contact pour la protection des données à caractère personnel
La société a désigné un responsable, assisté d’une équipe, chargé de garantir la mise en œuvre et le respect de la législation en matière de protection des données et de la présente politique. Le responsable de la protection des données est joignable par e-mail yves.laurent@evconsult.net Pour l’exercice de vos droits, veuillez consulter l’article 8 de la présente politique.
4. Définitions
La législation applicable en matière de protection des données est une matière abstraite, qui a son propre langage. Vous trouverez ci-dessous quelques définitions qui vous aideront à mieux comprendre la terminologie et, par extension, la présente politique.
a. Législation en matière de protection des données
Diverses lois peuvent s’appliquer, en fonction du cas concret d’application du traitement des données à caractère personnel.
Les principes et obligations de base sont contenus dans le Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Cette réglementation est également dénommée Règlement général sur la protection des données (RGDP) ou General Data Protection Regulation (GDPR). La Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques s’applique dans des cas particuliers (par exemple le traitement de données de localisation ; l’utilisation de cookies).
Outre la réglementation européenne, la législation nationale spécifique sur la protection des données s’applique également, par exemple la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel et la loi du 13 juin 2005 relative aux communications électroniques.
b. Données à caractère personnel
Les données à caractère personnel sont toute information se rapportant à une personne physique identifiée ou identifiable, également dénommée la « personne concernée ». Une personne est réputée être identifiable lorsqu’une personne physique peut être identifiée, directement ou indirectement, notamment au moyen d’un identifiant (un nom, un numéro d’identification, des données de localisation, un identifiant en ligne) ou d’un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
c. Responsable du traitement
Le responsable du traitement est une personne physique ou morale (une entreprise, par exemple), une autorité publique, un service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine la finalité et les moyens du traitement de données à caractère personnel. Par exemple, E-VCONSULT SRL est une personne morale, responsable du traitement des données à caractère personnel de ses travailleurs dans le cadre de sa gestion du personnel.
d. Sous-traitant
Le sous-traitant est une personne physique ou morale, une autorité publique, un service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement et sur instruction de ce dernier.
e. Traitement de données à caractère personnel
Un traitement de données à caractère personnel est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés (par exemple logiciel) et appliquées à des données ou des ensembles de données à caractère personnel, par exemple la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. Un exemple de traitement de données à caractère personnel est la collecte et le stockage, dans le logiciel de gestion de la relation client (CRM) de l’organisation, ou dans un fichier clients au format papier, des coordonnées des personnes de contact chez ses clients.
f. Fichier
Un fichier est tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique. Cela concerne donc à la fois les fichiers électroniques structurés au moyen d’un logiciel ou d’applications dans le cloud et les dossiers et fichiers papier, pour autant qu’ils soient organisés et structurés de façon logique par une connexion à des personnes ou qu’ils soient liés à des personnes à l’aide de critères.
5. Principes applicables à la collecte et au traitement des données à caractère personnel
En plus d’avoir son propre langage, la législation en matière de protection des données prescrit plusieurs principes de base que tout responsable du traitement doit respecter pour se conformer à cette législation. En cas de doute sur l’application de ces principes dans un cas concret, n’hésitez pas à contacter LAURENT YVES pour obtenir des précisions, conformément à la procédure décrite à l’article 8. La législation en matière de protection des données prescrit que les données à caractère personnel doivent être traitées dans le respect des divers principes de base et des conditions qui en découlent.
a. Licéité
La législation en matière de protection des données prescrit que les données à caractère personnel doivent être traitées de façon licite et loyale à l’égard de la personne concernée. La régularité du traitement implique l’existence d’un fondement juridique. En principe, les données à caractère personnel peuvent uniquement être traitées si :
- La personne concernée donne son consentement. L’organisation devra au moins informer préalablement la personne concernée de la finalité pour laquelle les données sont demandées, quelles données seront collectées pour traitement, du droit de retirer le consentement, des conséquences possibles pour la personne concernée dans le cadre de la prise de décision et le profilage individuels automatisés, ainsi que du transfert des données vers des pays tiers.
- Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.
- Le traitement est nécessaire pour satisfaire à une obligation légale imposée à l’organisation.
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
- Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investie l’organisation qui intervient en qualité de responsable du traitement.
- Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par l’organisation en qualité de responsable du traitement ou par un tiers, à moins que ne prévalent les droits fondamentaux et les libertés de la personne concernée qui exigent une protection des données à caractère personnel.
Vous pouvez à tout moment révoquer le consentement que vous avez donné à l’organisation pour le traitement de vos données à une finalité de traitement déterminée. L’organisation cessera alors de traiter vos données, pour le traitement desquelles vous avez donné votre consentement, et elle vous informera des conséquences possibles du retrait de votre consentement. Si l’organisation traite vos données à caractère personnel à d’autres finalités et qu’elle invoque pour ce faire d’autres motifs juridiques, elle pourra continuer à traiter vos données.
Lorsqu’elle traite des données à caractère personnel, l’organisation garantit qu’elle se fonde toujours au moins sur l’un des fondements juridiques susmentionnés .Si vous avez des questions sur les fondements juridiques invoqués par l’organisation, n’hésitez pas à la contacter en suivant la procédure mentionnée à l’article 8.
Certaines catégories de données à caractère personnel ont un caractère sensible, de sorte que la législation en matière de protection des données a prévu un régime plus strict pour ces catégories de données (également dénommées « données sensibles »). Il s’agit des données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données génétiques, les données biométriques permettant d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne. Les données relatives aux infractions ou condamnations pénales constituent également une catégorie particulière.
En principe, le traitement de ces données sensibles est interdit, sauf si l’organisation peut invoquer l’une des exceptions. Dans un nombre limité de cas, l’organisation doit traiter des données sensibles, auquel cas la personne concernée sera préalablement informée. Dans le cas du traitement à ces finalités spécifiques, l’organisation devra informer préalablement et en détail la personne concernée des finalités spécifiques et du fondement du traitement. Pour plus d’informations à propos du traitement des données sensibles par l’organisation, n’hésitez pas à contacter cette dernière, conformément à la procédure définie à l’article 8 de la présente politique.
b. Loyauté
L’organisation garantit que les données à caractère personnel seront traitées :
- Pour des finalités déterminées, explicites et légitimes, et ne seront pas traitées ultérieurement d’une manière incompatible avec ces finalités initiales pour lesquelles les données ont été collectées. L’organisation devra à tout moment communiquer clairement les finalités avant de débuter le traitement.
- Dans les limites de ce qui est nécessaire pour les finalités pour lesquelles les données ont été collectées. Quand c’est possible, l’organisation anonymisera ou pseudonimisera les données afin de limiter au maximum l’impact pour la personne concernée. Cela signifie que le nom ou l’identifiant sera remplacé de manière à rendre l’identification d’une personne difficile, voire impossible.
- Pendant une durée limitée et pour autant que ce soit nécessaire pour la finalité concernée.
- Correctement et, si nécessaire, les données seront mises à jour. L’organisation adoptera toutes les mesures nécessaires pour effacer ou corriger les données à caractère personnel, compte tenu des finalités du traitement.
c. Transparence
En principe, l’organisation traite les données à caractère personnel directement fournies par la personne concernée. L’organisation qui traite les données à caractère personnel de la personne concernée devra systématiquement lui communiquer les informations suivantes :
l’identité et les coordonnées du responsable du traitement ;
- si un Data Protection Officer a été désigné, ses Coordonnées ;
- la finalité du traitement et son fondement légal ;
- si le responsable du traitement invoque un intérêt légitime pour procéder au traitement des données à caractère personnel, une explication de cet intérêt ;
- les (catégories de) destinataires des données à caractère personnel ;
- le transfert de données à caractère personnel vers des pays tiers (en dehors de l’UE) ou des organisations internationales (+ sur quelle base) ;
- la durée de conservation des données ou les critères en vertu desquels la durée de conservation est définie ;
- les droits de la personne concernée (notamment le droit de retirer son consentement) ;
- le droit d’introduire une réclamation auprès de l’autorité de contrôle ;
- une justification si la communication des données à caractère personnel est une obligation contractuelle ou légale ;
- la logique qui sous-tend les procédés de prise de décisions automatisés et leurs conséquences juridiques possibles pour la personne concernée ;
- si l’organisation reçoit des données à caractère personnel de la part d’un tiers, elle doit informer clairement la personne concernée des catégories de données ainsi reçues et lui communiquer l’identité de ce tiers.
Si la personne concernée dispose déjà de toutes les informations, l’organisation ne l’informera pas inutilement du traitement de ses données à caractère personnel. Si l’organisation traite les données à caractère personnel à d’autres finalités, incompatibles avec les finalités pour lesquelles elles ont initialement été collectées (la nouvelle finalité n’est pas décrite dans la note d’information initiale et la personne concernée ne peut deviner que ses données à caractère personnel seront également traitées à cette nouvelle fin), l’organisation prendra toutes les mesures nécessaires pour traiter ces données de façon licite et elle en informera la personne concernée. L’organisation peut fournir les informations tant sur une base collective qu’individuelle et elle veillera toujours à ce qu’elles soient rédigées dans un langage compréhensible et simple. Certains textes législatifs peuvent contenir des exceptions ou imposer des exigences complémentaires pour ce qui est de la communication d’informations aux personnes concernées et auxquelles l’organisation doit se conformer. Ces dispositions légales contraignantes priment sur la présente politique.
d. Confidentialité et intégrité
La société adopte les mesures techniques et organisationnelles requises pour garantir que le traitement des données à caractère personnel soit toujours effectué moyennant les garanties appropriées pour protéger les données contre tout accès non autorisé ou traitement illégal et contre la perte, la destruction ou des dégâts d’origine accidentelle. Lors du choix des mesures de sécurité appropriées, l’organisation a tenu compte de la nature, du contexte, de la finalité et de la portée du traitement, des risques possibles lors du traitement des données à caractère personnel, des coûts de mise en œuvre des mesures et de l’état de la technique.
Ces mesures s’appliquent à l’accès physique aux données à caractère personnel, à l’accès à ces données par des ordinateurs, serveurs, réseaux ou autre matériel informatique, applications logicielles et bases de données. Outre les mesures techniques et organisationnelles, les travailleurs de l’entreprise qui, dans l’exercice de leur fonction, ont accès à des données à caractère personnel, sont tenus de respecter diverses obligations visant à garantir la confidentialité et l’intégrité des données à caractère personnel visées à l’article 9 de la présente politique.
L’organisation assurera des formations à l’attention de ses travailleurs qui, dans l’exercice de leur fonction, seront amenés à traiter des données à caractère personnel sur instruction de l’organisation. Les travailleurs sont exclusivement autorisés à traiter les données à caractère personnel sur instruction de l’organisation ou s’ils y sont contraints par la loi. L’organisation mettra par ailleurs en place des droits d’accès pour que les travailleurs aient uniquement accès aux données dont ils ont besoin dans l’exercice de leur fonction. Les travailleurs qui ont accès aux données à caractère personnel signeront un contrat de confidentialité.
L’organisation veillera à ce que des tiers qui reçoivent des données à caractère personnel de l’organisation appliquent la législation en matière de protection des données et la présente politique.
La Politique de sécurité contient une énumération générale des mesures de sécurité techniques et organisationnelles mises en place par l’organisation.
6. Transfert de données à caractère personnel
Dans certains cas, l’organisation peut être forcée de transmettre vos données à caractère personnel à des tiers bénéficiaires, tant au sein du groupe d’entreprises de l’organisation qu’en dehors de celui-ci. Dans tous les cas, les données à caractère personnel sont exclusivement transférées à ces bénéficiaires, qui procèdent au traitement à des finalités précises, sur la base du principe « need to know » (besoin d’en connaître). Lors du transfert, l’organisation adopte systématiquement les mesures de sécurité nécessaires, notamment à l’égard des bénéficiaires, afin de garantir la confidentialité et l’intégrité des données à caractère personnel. Le transfert à des tiers peut adopter diverses formes décrites plus en détail ci-après.
a. Transfert au sein du groupe d’entreprises de l’organisation
Le transfert de données à caractère personnel au sein du groupe de sociétés de l’organisation est considéré comme un transfert à un tiers. Il ne peut dès lors intervenir que si l’organisation a respecté les divers principes et obligations imposés par la législation en matière de protection des données.
Cela signifie notamment que la personne concernée doit être informée du transfert et de son motif et que l’organisation émettrice doit pouvoir s’appuyer sur un fondement juridique (autorisation de la personne concernée, exécution d’un contrat, intérêt justifié, etc.) pour justifier ce transfert. Lors de ce traitement ultérieur, l’organisation doit également respecter les autres principes énumérés à l’article 5 de la présente politique.
Si vos données à caractère personnel sont transférées à des entreprises du groupe, mais qui sont situées hors de l’Espace économique européen (c’est-à- dire l’Union européenne, la Norvège, l’Islande et le Liechtenstein) le groupe de sociétés prévoit des garanties appropriées décrites au point c.
b. Transfert à des collaborateurs
L’organisation peut demander à un tiers, un sous-traitant, de traiter des données à caractère personnel exclusivement pour le compte de l’organisation et sur instruction de cette dernière. Le sous-traitant ne peut traiter ces données à des fins propres indépendantes des finalités pour lesquelles l’organisation fait appel au sous-traitant. L’organisation peut décider de collaborer avec ces sous-traitants, qui fournissent des services à la demande de l’organisation, notamment pour des agences de voyage, services de location, fournisseurs de conseils médicaux et autres conseils professionnels de la consultance, etc.
L’organisation fera uniquement appel à des sous-traitants et ne leur fournira des données à caractère personnel que moyennant la conclusion d’un contrat de sous- traitance conforme aux exigences légales. Le RGDP prescrit notamment que le contrat doit contenir une clause indiquant que le sous-traitant ne peut traiter les données à caractère personnel que sur instruction de l’organisation ; que le sous- traitant doit assister l’organisation à sa demande ; que les données doivent demeurer confidentielles ; etc.
Une partie de ce contrat de sous-traitance porte également sur les mesures de sécurité que le sous-traitant doit mettre en œuvre avant de traiter les données à caractère personnel et maintenir pendant toute la durée du traitement, pour garantir la confidentialité et l’intégrité des données. L’organisation adoptera les mesures nécessaires si elle constate le non- respect par ses travailleurs des obligations qui leur incombent en vertu du contrat.
c. Transfert vers des pays tiers - en dehors de l’Espace économique européen
Il est également possible que l’organisation transfère vos données à caractère personnel à des parties établies dans des pays tiers, c’est-à-dire des pays situés en dehors de l’Espace économique européen (à savoir : l’Union européenne, la Norvège, l’Islande et le Liechtenstein).
Un tel transfert est possible si le pays où le destinataire est établi offre des garanties légales suffisantes pour la protection de vos données à caractère personnel et jugées appropriées par la Commission européenne. Dans les autres cas, l’organisation a conclu avec le destinataire un contrat type afin qu’une protection comparable et équivalente à celle de l’Europe soit offerte.
Lorsque cela n’a pas eu lieu ou si ce n’est pas possible, l’organisation peut toujours transférer les données à caractère personnel de la personne concernée, moyennant l’obtention d’un consentement de cette dernière, dans les limites de la relation qu’elle entretient avec l’organisation. Afin de permettre le transfert, et donc le traitement, dans ces cas également, l’organisation demandera le cas échéant à la personne concernée si elle consent à ce transfert occasionnel vers des pays tiers.
Si vous souhaitez obtenir de plus amples informations ou une copie des garanties en vigueur pour ces transferts internationaux de vos données à caractère personnel, vous pouvez toujours suivre la procédure définie à l’article 8.
7. Durée de conservation des données à caractère personnel
L’organisation ne conservera pas vos données à caractère personnels plus longtemps qu’il n’est nécessaire pour la finalité spécifique pour laquelle elles sont collectées. Au terme de la durée ultime de conservation, l’organisation supprimera ou anonymisera les données à caractère personnel. L’organisation anonymisera les données si elle souhaite encore les utiliser à des fins statistiques. L’organisation peut conserver les données à caractère personnel pendant une plus longue période à des fins de gestion des litiges, d’étude ou d’archivage.
8. Droits des personnes concernées
La législation en matière de protection des données prévoit pour les personnes concernées divers droits relatifs au traitement des données à caractère personnel, afin que les personnes concernées puissent continuer d’exercer un contrôle suffisant sur le traitement de leurs données à caractère personnel. Par la présente politique, l’organisation tente déjà de fournir autant d’informations que possible aux personnes concernées afin de faire preuve de la plus grande transparence en matière de traitement des données à caractère personnel. La présente politique générale doit cependant être lue parallèlement à des notes d’information plus détaillées contenant de plus amples informations sur les finalités de traitement spécifiques de l’organisation.
L’organisation comprend que la personne concernée peut se poser d’autres questions ou vouloir obtenir des précisions au sujet du traitement de ses données à caractère personnel. L’organisation comprend dès lors également l’importance des droits qu’elle s’engage à respecter, compte tenu des limitations légales imposées lors de l’exercice de ces droits. Les divers droits sont décrits plus en détail dans la suite de la présente politique.
a. Droit d’accès
La personne concernée a le droit d’obtenir la confirmation par l’organisation que ses données à caractère personnel font l’objet d’un traitement. Si tel est le cas, la personne concernée peut demander à accéder à ses données. L’organisation informera la personne concernée des éléments suivants :
les finalités du traitement ;
- les catégories de données à caractère personnel concernées ;
- les destinataires ou les catégories de destinataires des données à caractère personnel ;
- le transfert à des destinataires établis dans des pays tiers ou des organisations internationales ;
- si possible, la durée de conservation des données à caractère personnel envisagée ou, si ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
- le droit pour la personne concernée de demander à l’organisation la correction ou l’effacement de données à caractère personnel, ou une limitation du traitement de ses données à caractère personnel, ou du droit de s’opposer à ce traitement ;
- le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
- lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
- l’existence d’une prise de décision automatisée, y compris un profilage et des informations utiles concernant la logique sous-jacente de cette prise de décision, ainsi que l’importance et les conséquences prévisibles de ce traitement pour la personne concernée. L’organisation fournit en outre une copie des données à caractère personnel traitées. Si la personne concernée demande des exemplaires supplémentaires, l’organisation peut exiger des frais raisonnables.
b. Droit de rectification
Si la personne concernée constate que l’organisation détient des données inexactes ou incomplètes la concernant, elle a à tout moment le droit de le signaler à l’organisation afin que cette dernière puisse faire le nécessaire pour corriger ou compléter ces données. Il appartient à la personne concernée de fournir à l’organisation des données à caractère personnel correctes.
c. Droit à l’oubli
La personne concernée peut demander l’effacement de ses données à caractère personnel si le traitement n’est pas conforme à la législation en matière de protection des données et dans les limites de la Loi (art. 17 RGDP).
d. Droit à la limitation du traitement
La personne concernée peut demander la limitation du traitement si
- l’exactitude des données à caractère personnel est mise en cause et pendant la période nécessaire à la vérification de leur exactitude ;
- le traitement est illégal et la personne concernée ne souhaite pas l’effacement des données ;
- l’organisation n’a plus besoin des données, mais la personne concernée demande à ce qu’elles ne soient pas supprimées, car elle en a besoin pour l’exercice ou la justification d’une action en justice ;
- une réclamation est introduite contre le traitement dans l’attente de l’explication des intérêts légitimes qui priment sur les intérêts de la personne concernée.
e. Droit à la portabilité
Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à l’organisation dans un format structuré, couramment utilisé et lisible par machine. La personne concernée a le droit de transmettre ces données à caractère personnel (directement par l’organisation) à un autre responsable du traitement. C’est possible si le traitement repose sur le consentement de la personne concernée et sur un traitement par un procédé automatisé.
f. Droit d’opposition
Quand les données à caractère personnel sont traitées à des fins de marketing direct (y compris le profilage), la personne intéressée peut toujours s’opposer au traitement. La personne concernée peut également s’opposer au traitement d’une situation spécifique la concernant. L’organisation cessera alors le traitement, à moins qu’elle ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement, qui prévalent sur les intérêts de la personne concernée, ou qui se rapportent à l’exercice ou la justification d’une action en justice.
g. Prise de décision individuelle automatisée
La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire, par exemple l’évaluation d’aspects personnels relatifs à l’exécution du travail, la fiabilité, la solvabilité. Ce droit de ne pas être soumis à une telle prise de décision automatisée n’existe pas quand la décision est autorisée par une disposition légale impérative. La personne concernée ne peut cependant pas invoquer ce droit si la décision est nécessaire à la création ou à l’exécution du contrat entre la personne concernée et l’organisation ou si elle repose sur le consentement explicite de la personne concernée. Dans ces deux derniers cas, la personne concernée a le droit à l’intervention humaine d’un membre de l’organisation et elle a le droit de faire connaître son point de vue et de contester la décision automatisée.
h. Droit de retrait du consentement
Si vous avez donné votre consentement à l’organisation pour une finalité de traitement déterminée, vous pouvez à tout moment retirer ce consentement par l’envoi d’un e-mail.
i. Procédure concernant l’exercice des droits et autres dispositions
La personne concernée peut exercer ses droits en envoyant un e-mail à LAURENT YVES à l’adresse yves.laurent@evconsult.net L’organisation peut demander à la personne intéressée de s’identifier afin de s’assurer que l’exercice effectif des droits est demandé par la personne concernée.
Si vous avez des questions concernant l’application des principes ou des obligations (légales) qui reposent sur l’organisation, n’hésitez pas à contacter LAURENT YVES par mail yves.laurent@evconsult.net En principe, l’organisation donne suite à la demande de la personne intéressée dans un délai d’un mois. À défaut, l’organisation informe la personne concernée des motifs de son inaction ou du retard dans le suivi de la demande. L’organisme consent les efforts nécessaires pour informer les destinataires des données à caractère personnel de la personne concernée que cette dernière exerce son droit de correction, d’effacement ou de limitation du traitement.
9. Responsabilités de la personne concernée
L’organisation attend de ses travailleurs qu’ils respectent la présente politique et qu’ils veillent à ce qu’elle soit respectée par ceux dont ils sont responsables. Il est essentiel que les travailleurs comprennent les objectifs de la présente politique et qu’ils s’y familiarisent, afin qu’ils puissent se conformer aux dispositions qui y sont contenues. Les travailleurs doivent dès lors :
- traiter de façon régulière et appropriée les données à caractère personnel des collègues, des clients, etc., conformément à la législation applicable, aux instructions de l’employeur et à la politique de confidentialité de l’entreprise, tout en en garantissant l’intégrité et la confidentialité ;
- en cas de doute sur l’application de la présente politique ou le respect de la réglementation en matière de protection des données dans l’exercice de leur fonction, demander conseil à leur supérieur, au responsable de la protection des données ;
- traiter des données à caractère personnel uniquement si c’est nécessaire dans l’exercice de leur fonction / sur instruction de l’organisation ;
- suivre des formations sur le traitement confidentiel des données à caractère personnel et les principes et obligations généraux découlant de la législation en matière de protection des données ;
- assister le responsable de la protection des données ;
- Ne pas conserver de copies des données à caractère personnel sur l’ordinateur de bureau ou sur des supports personnels si l’organisation dispose d’un lieu de stockage centralisé et sécurité, car l’enregistrement de fichiers personnels ou de copies peut causer des erreurs dans les données à caractère personnel et des risques accrus d’infractions ;
- informer immédiatement le responsable de la protection des données s’ils constatent une violation éventuelle ou effective des données à caractère personnel ou de la législation en matière de protection des données.
10. Respect
Toute personne ayant accès aux données à caractère personnel traitées par l’organisation se doit de respecter la présente politique. Le non-respect de la présente politique peut entraîner des mesures / sanctions disciplinaires, par exemple un avertissement, le licenciement ou toute autre sanction autorisée par la loi, sans préjudice de son droit d’intenter une procédure civile ou pénale.
11. Audit et révision
L’organisation se réserve le droit d’adapter et de réviser la présente politique quand elle le juge nécessaire et pour continuer à se conformer aux exigences légales et / ou aux recommandations de l’autorité de contrôle compétente en matière de protection des données.
Si l’organisation est dans l’incapacité de respecter la présente politique du fait de dispositions légales impératives qui lui sont imposées, elle en informe le responsable de la protection des données.
12. Entrée en vigueur
La présente politique entre en vigueur à compter du 01/01/2022
13. Mesures de sécurité techniques et organisationnelles
Mesures organisationnelles |
---|
- Coordinateur qualité |
- Analyse des risques |
- Sensibilisation du personnel à travers des informations et formations |
- Procédure de notification en cas d’incidents physiques/techniques (AQ) |
- Classification de l’information |
- Suivi disciplinaire en cas de non-respect de l’une des mesures |
- Plan garantissant que l’efficacité des mesures organisationnelles/techniques est régulièrement testée et évaluée |
Mesures techniques |
- Système de back-up |
- Mesures en cas d’incendie, cambriolage, dégâts des eaux ou incidents physiques/techniques |
- Contrôle de l’accès (physique et logique) |
- Système d’authentification |
- Politique en matière de mots de passe |
- Politique en matière de noms d’utilisateur |
- Système d’identification, détection et analyse des entrées |
- Anti-virus |
- Pare-feu |
- Sécurité du réseau |
- Surveillance, examen et entretien des systèmes |