Déclaration de Protection des Données Personnelles pour l’activité de DPO-Externe
Introduction
En tant que Délégué à la Protection des Données (DPO) externe, nous nous engageons à garantir la confidentialité, l’intégrité et la sécurité des données personnelles de nos clients. Notre mission est de veiller à ce que nos clients respectent les réglementations en matière de protection des données, notamment le Règlement Général sur la Protection des Données (RGPD).
Qui sommes-nous ?
La SRL CABRI.EU est le Responsable du Traitement de vos données à caractère personnel.
- Adresse : Rue Paul Pastur 133, 6180 Courcelles
- Adresse Mail : dpo@cabri.eu
- Numéro de téléphone : +32 (0475) 64 88 31
- Numéro d’entreprise : 0862.319.607
- Web : www.cabri.eu – www.mondpo.be
Données Personnelles que nous traitons
- Identification générale et informations de contact : noms ; adresse ; e-mail et téléphone ; genre ; date
- Les données de vidéosurveillance : pour des raisons de sécurité, certains de nos bâtiments sont équipés d’un système de vidéosurveillance ;
- Les Informations utiles pour la réalisation du suivi des violations de données de nos client et des demande d’exercice de droit
Responsabilités
En tant que DPO externe, nous assumons les responsabilités suivantes :
- Conseiller nos clients sur les questions de protection des données.
- Surveiller les activités de traitement des données de nos clients.
- Répondre aux demandes des personnes concernées.
- Coopérer avec les autorités de contrôle.
Finalités que nous poursuivons (pourquoi traitons-nous vos données ?)
En tant que Délégué à la Protection des Données (DPO), notre rôle est de veiller à la conformité avec les réglementations sur la protection des données, telles que le Règlement Général sur la Protection des Données (RGPD).
Voici quelques-unes de nos responsabilités :
- Conseil et Sensibilisation :
- Conseiller l’entreprise sur les meilleures pratiques en matière de protection des données personnelles.
- Sensibiliser les employés et les parties prenantes aux enjeux liés à la confidentialité des données.
- Surveillance et Audit :
- Surveiller les activités de traitement des données au sein de l’organisation.
- Effectuer des audits pour nous assurer que les processus sont conformes aux réglementations.
- Gestion des Incidents :
- En cas de violation de données, nous coordonnons la réponse et la notification aux autorités compétentes et aux personnes concernées.
- Collaboration avec les Autorités de Contrôle :
- Nous sommes le point de contact avec les autorités de protection des données.
- Nous coopérons avec elles lors d’enquêtes ou d’inspections.
- Documentation et Rapports :
- Nous tenons à jour la documentation sur les activités de traitement des données.
- Nous préparons des rapports pour la direction et les autorités compétentes.
Fondement juridique (base légale)
La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de collecter ou d’utiliser des données personnelles. On peut également parler de « fondement juridique » ou de « base juridique » du traitement.
Pour pouvoir être mis en œuvre, tout traitement de données doit se fonder sur l’une des bases légales prévues par le Règlement Général sur la Protection des Données (RGPD). La détermination de la base légale appropriée est une étape-clé pour les organismes.
Voici les principales bases légales prévues par le RGPD :
- Consentement :
- Le traitement peut reposer sur le consentement explicite et informé de la personne concernée.
- Le consentement doit être donné librement, spécifique, éclairé et univoque.
- Exécution d’un Contrat :
- Le traitement peut être fondé sur l’exécution d’un contrat avec la personne concernée.
- Par exemple, la gestion des données d’un client dans le cadre d’un contrat de vente.
- Obligation Légale :
- Le traitement peut être justifié par une obligation légale à laquelle l’organisme est soumis.
- Par exemple, la conservation des données fiscales conformément à la loi.
- Sauvegarde des Intérêts Vitaux :
- Le traitement peut être nécessaire pour protéger la vie ou l’intégrité physique d’une personne.
- Mission d’Intérêt Public :
- Les autorités publiques peuvent recourir à cette base légale pour fonder les traitements qu’elles mettent en œuvre.
- Par exemple, les services de santé publique.
- Intérêt Légitime :
- L’organisme peut fonder un traitement sur ses intérêts légitimes, sous réserve de respecter certaines exigences.
- Il doit opérer une pondération entre son intérêt et les droits fondamentaux des personnes.
Qui a accès aux données personnelles
- Le personnel de la SRL CABRI.EU
- Le personnel de la SRL ARLIOZ.BE.
Sous-Traitant
CABRI.EU recourt au sous-traitants suivants :
- La SRL ARLIOZ, pour la gestion technique des dossiers des clients et les conseils RGPD
- La société OVH (France) pour le hosting des sites WEB
- La société Microsoft INC pour le cloud.
- Les sociétés Proximus et VOO pour les télécommunications
- La SRL Tout-Elec Security pour la protection du bâtiment et la domotique
- La SA Fiscal Assistance pour la comptabilité
- L’URPC pour la GRH
- Les sociétés BELFIUS, ING et CBC pour les banques et assurances
- Les Cheques Entreprises pour les dossiers financés par eux
Mesures techniques et organisationnelles
Les mesures techniques et organisationnelles sont essentielles pour garantir la sécurité et la conformité en matière de protection des données personnelles.
CABRI.EU a mis en œuvre les mesures techniques et organisationnelles appropriées afin de protéger vos données contre les accès non autorisés, divulgations non autorisées, destructions malveillantes et non intentionnelles, utilisation illicite … Voici une explication détaillée :
- Mesures Techniques:
- Chiffrement des données confidentielles : Le chiffrement rend les données illisibles sans la clé appropriée.
- Protection des hébergements : Utilisation de serveurs dédiés plutôt que mutualisés pour renforcer la sécurité.
- Identification et authentification : Mise en place de procédures pour vérifier l’identité des utilisateurs.
- Flux sécurisés : Utilisation de protocoles tels que TSL/SSL, HTTPS et SFTP pour sécuriser les échanges de données.
- Nous surveillons en permanence les vulnérabilités et appliquons des correctifs de sécurité lorsque nécessaire.
- Mesures Organisationnelles:
- Gestion des habilitations : Contrôle des accès aux données.
- Connaissance de la donnée : Cartographie des données et registre des traitements.
- Sensibilisation et formation : Former les employés aux bonnes pratiques de sécurité.
- Sécurité juridique : Élaboration d’une politique de confidentialité et gestion des contrats de travail
- Une politique de sécurité des bâtiments et des infrastructures informatiques a été mise en œuvre ;
- Un engagement de confidentialité est signé par les membres du personnel ;
En pratique, ces deux catégories de mesures se recoupent souvent, car les mesures organisationnelles s’appuient sur le respect de procédures impliquant l’activation de mesures techniques. L’objectif est d’assurer une protection optimale et appropriée des données personnelles
Notification d’une violation de données à caractère personnel
En tant que DPO externe, nous prenons très au sérieux toute violation de données personnelles. Voici les étapes à suivre en cas de violation :
- Détection et Évaluation :
- Dès que nous prenons connaissance d’une violation de données, nous évaluons son impact sur les droits et libertés des personnes concernées.
- Nous identifions la nature de la violation (perte, accès non autorisé, altération, etc.).
- Notification à l’Autorité de Contrôle :
- Conformément à l’article 33 du RGPD, nous notifions l’autorité de contrôle compétente (l’Autorité de Protection des Données belge) dans les 72 heures suivant la découverte de la violation.
- Si la violation ne présente pas de risque pour les droits et libertés des personnes, nous documentons néanmoins l’incident en interne.
- Communication aux Personnes Concernées :
- Si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, nous informons également les personnes concernées.
- Nous fournissons des informations claires sur la nature de la violation, les mesures prises pour y remédier et les conseils à suivre.
- Collaboration avec les Clients :
- Nous travaillons en étroite collaboration avec nos clients pour résoudre la situation et minimiser les conséquences.
- Nous les assistons dans la communication avec les personnes concernées, si nécessaire.
- Documentation :
- Nous documentons chaque étape du processus de notification, y compris les mesures correctives mises en place.
- Cette documentation est essentielle pour démontrer notre conformité en cas d’audit.
Durées de stockage de vos données
La durée de conservation des données personnelles est un élément essentiel pour garantir la conformité avec les réglementations sur la protection des données.
Voici quelques informations importantes à ce sujet :
- Cycle de Vie de la Donnée :
- Pour chaque traitement de données, les données personnelles suivent un cycle de vie composé de trois phases :
- Conservation en Base Active : Pendant cette phase, les données sont utilisées pour atteindre l’objectif initial du traitement. Par exemple, dans une entreprise, les données d’un candidat non retenu seront conservées pendant 2 ans maximum (sauf s’il en demande l’effacement) par le service des ressources humaines.
- Archivage Intermédiaire : Les données ne sont plus utilisées pour atteindre l’objectif initial, mais elles présentent encore un intérêt administratif (par exemple, gestion d’un contentieux) ou doivent être conservées pour répondre à une obligation légale
- Archivage Définitif : Certaines informations sont archivées de manière définitive et pérenne en raison de leur valeur historique ou juridique.
- Pour chaque traitement de données, les données personnelles suivent un cycle de vie composé de trois phases :
- Identification de la Durée de Conservation :
- La définition de la durée de conservation relève de l’analyse de conformité que le responsable du traitement doit mener.
- Dans certains cas, la durée est fixée par la règlementation
- Pour d’autres traitements, la durée doit être déterminée en fonction de la finalité du traitement.
Les droits que vous avez sur vos données
En tant que DPO externe, nous reconnaissons et respectons les droits des personnes dont les données personnelles sont traitées. Voici les principaux droits que les personnes concernées peuvent exercer :
- Droit d’Accès :
- Toute personne a le droit de savoir si ses données personnelles sont traitées et d’obtenir une copie de ces données.
- Nous nous engageons à fournir des informations claires et transparentes sur le traitement des données.
- Droit de Rectification :
- Si les données personnelles sont inexactes ou incomplètes, les personnes concernées ont le droit de demander leur rectification.
- Nous traitons rapidement ces demandes et mettons à jour les données en conséquence.
- Droit à l’Oubli :
- Les personnes concernées peuvent demander la suppression de leurs données personnelles dans certaines circonstances.
- Nous supprimons les données conformément aux exigences légales et aux politiques de conservation.
- Droit à la Portabilité des Données :
- Les personnes concernées ont le droit de recevoir leurs données personnelles dans un format structuré et lisible par machine.
- Nous facilitons la portabilité des données lorsque cela est applicable.
- Droit d’Opposition :
- Les personnes concernées peuvent s’opposer au traitement de leurs données personnelles pour des motifs légitimes.
- Nous examinons attentivement ces objections et ajustons nos pratiques si nécessaire.
- Droit de Déposer une Plainte :
- Si une personne estime que ses droits en matière de protection des données ont été violés, elle peut déposer une plainte auprès de l’autorité de contrôle compétente.
Si vous souhaitez exercer vos droits ou avez une question concernant la manière dont nous traitons vos données à caractère personnel, contactez-nous. Nos cordonnées se trouvent au dessus de cette déclaration.
Transmission de vos données personnelles
- Aucun transfert de données hors de l’Union européenne n’est réalisé.
- Par ailleurs, nos sites Webs (www.cabri.eu, www.mondpo.be) sont hébergés en France.
- Pour les données traitées qui sont stockées hors de l’Union européenne. les garanties de protection adéquate de vos données personnelles sont mise en œuvre, entre autre par du chiffrement.
- Les traitements ne prévoient pas de prise de décision automatisée
Contact
Pour toute question ou préoccupation concernant la protection des données personnelles, veuillez nous contacter à l’adresse suivante : dpo@cabri.eu.
Modification de la Déclaration de Protection des Données Personnelles
Nous nous engageons à protéger vos données personnelles conformément aux réglementations en vigueur, notamment le Règlement Général sur la Protection des Données (RGPD). Notre déclaration de protection des données peut être mise à jour de temps en temps pour refléter les évolutions légales, technologiques ou organisationnelles.
Modifications Possibles
- Nous pouvons apporter des modifications à la déclaration de protection des données pour diverses raisons, telles que des changements dans nos activités, des mises à jour légales ou des améliorations de nos pratiques de confidentialité.
- Ces modifications peuvent concerner les finalités du traitement, les catégories de données collectées, les bases légales, etc.
Accès aux Mises à Jour
- Toutes les mises à jour de la déclaration de protection des données seront publiées sur notre site internet.
- Vous pouvez consulter la version la plus récente de la déclaration à tout moment en visitant la page Déclaration de Protection des Données.
- La date de la dernière mise à jour sera clairement indiquée sur cette page.
Nous vous encourageons à vérifier régulièrement notre déclaration de protection des données pour rester informé des éventuelles modifications. Si vous avez des questions, n’hésitez pas à nous contacter à l’adresse suivante : dpo@cabri.eu. 04 03 24