Politique informative de protection des données à caractère personnel
1. Privanot
Privanot est une association sans but lucratif dont les missions statutaires consistent en la fourniture de services de délégué à la protection des données, mutualisés ou non, ainsi que de tout autre service ayant trait à la protection des données à caractère personnel et à la sécurité de l’information.
Coordonnées :
Privanot asbl
BCE 0749.562.550
Rue de la Montagne 30, 1000 Bruxelles
info@privanot.be
02/500.14.15
Dans le cadre des services fournis, Privanot est amenée à traiter des données à caractère personnel, les « données ». En fonction de ces services, comme précisé ci-après en fonction des hypothèses de traitements, Privanot est amené à traiter des données en tant que responsable du traitement ou en tant que sous-traitant.
2. Objectif de la politique
L’objectif de cette politique est d’informer les personnes concernées des modalités de traitements des données effectuées par Privanot. L’association répond de cette manière à son obligation d’information, telle qu’imposée par :
- le Règlement général sur la protection des données (UE) 2016/679 – le « RGPD » et/ou,
- le Règlement (UE) 2018/1725 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données et/ou,
- la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.
Ainsi, vous trouverez dans ce document les réponses aux questions suivantes :
- Dans quel cadre et selon quelles règles Privanot traite-t-elle vos données ?
- Finalités et sources de données
- Catégories de données et durée de conservation
- Caractère licite des traitements de données
- Destinataires des données
- Quelles sont les mesures de protection des données mises en place par Privanot ?
- Quels sont les droits des personnes concernées et comment les exercer ?
3. Traitements effectués dans le cadre de l’utilisation du site internet www.privanot.be
Privanot est responsable du traitement des données réalisé par le biais du site internet.
Le site www.privanot.be permet la récolte de différents types de cookies dont les traitements sont détaillés dans la politique de cookies de l’asbl.
Aucun autre traitement de données n’est effectué lors de la consultation du site www.privanot.be.
4. Traitements transversaux effectués par Privanot en tant que responsable du traitement
a. Finalités poursuivies
Les finalités poursuivies par Privanot à l’occasion des traitements de données sont les suivantes :
- la gestion de la clientèle dans le cadre de la relation contractuelle, y compris la communication, le calcul des tarifs, la facturation et la comptabilité ;
- la gestion des candidats et des collaborateurs.
b. Gestion de la clientèle
Les données traitées aux fins de la gestion de la clientèle sont récoltées directement auprès de la personne concernée, ou auprès de son employeur, si une personne de contact est désignée par ce dernier.
Les catégories de données traitées sont les suivantes :
- données d’identification (nom, prénom, etc.),
- données de contacts (email, adresse, etc.),
- le cas échéant, données économiques, financières et professionnelles.
Privanot traite les catégories de données précitées dans le cadre de l’exécution d’un contrat avec les personnes concernées ou pour la réalisation de ses intérêts légitimes de gestion des relations contractuelles et de communication avec les personnes de contact dans le cadre des services fournis.
Les données sont conservées 10 ans après la fin des relations contractuelles conformément au délai de prescription des actions personnelles.
Les données ne sont pas transférées à des tiers.
c. Gestion des candidats et des collaborateurs
Les données traitées pour la gestion des ressources humaines et des candidatures sont récoltées directement auprès de la personne concernée ou auprès d’organismes sociaux officiels pour la gestion des relations de travail.
Les catégories de données à caractère personnel traitées sont les suivantes :
- données d’identification (nom, prénom, état civil, numéro national pour les collaborateurs, etc.) ;
- données de contacts ;
- données professionnelles (curriculum vitae, etc.),
- données médicales pour les collaborateurs (certificats médicaux, etc.) ;
- données familiales pour les collaborateurs (composition du ménage, etc.) ;
- données concernant le temps de travail des collaborateurs et l’utilisation du matériel informatique mis à leur disposition (facteurs d’identification, etc.).
Privanot traite les catégories de données précitées dans le cadre de l’exécution du contrat de travail, afin de respecter de ses obligations légales en matière de droit social ou simplement pour la réalisation de ses intérêts légitimes dans le cadre d’un recrutement.
Les données sont conservées 5 ans après la fin des relations contractuelles conformément au délai de prescription acquisitive en matière sociale. Par exception, les dossiers des candidats non retenus ne sont conservés que 3 ans après la clôture du recrutement.
Certaines données des collaborateurs données sont transférées vers les organismes sociaux officiels.
5. Traitements effectués par Privanot dans le cadre de la fourniture du service de délégué à la protection des données
Privanot fournit les services de délégué à la protection des données, mutualisés ou non, conformément aux obligations légales encadrant la profession. Privanot est considérée comme responsable du traitement des données à l’occasion de la fourniture des services.
Les finalités poursuivies par Privanot à l’occasion des traitements de données sont :
- de manière générale, l’accomplissement des missions légales qui incombent au délégué à la protection des données,
- plus spécifiquement l’accès à certaines données à l’occasion des contrôles réalisés ou lors de conseils dispensés sur des dossiers en particulier.
Les données sont récoltées auprès du responsable du traitement qui a désigné Privanot en tant que délégué à la protection des données.
Les catégories de données traitées concernent le responsable du traitement et ses collaborateurs, les clients du responsable du traitement et/ou toute autre personne en contact avec le responsable du traitement ou concernée, directement ou indirectement, par les dossiers du responsable du traitement.
Toutes les catégories de données sont potentiellement concernées, notamment les données concernant les mesures de sécurité et organisationnelles mises en place par les collaborateurs du responsable du traitement ou de son sous-traitant ou les données concernant les dossiers des clients du responsable du traitement. Par contre, Privanot s’assure de n’accéder qu’aux données nécessaires pour l’accomplissement de ses missions et demande au responsable du traitement de ne pas rendre accessibles les données les plus confidentielles, telles que les données des sources officielles.
Privanot traite les catégories de données précitées dans le cadre de l’accomplissement de ses missions légales de délégué à la protection des données.
Les données sont conservées 10 ans après la fin de la mission confiée à Privanot, conformément au délai de prescription des actions personnelles.
Les données ne sont pas transférées à des tiers.
6. Traitements effectués par Privanot dans le cadre de la fourniture de services de consultance
Privanot fournit des services de consultance en matière de protection des données à caractère personnel et de sécurité de l’information. Privanot agit en tant que sous-traitant pour les potentiels traitements de données à caractère personnel qu’elle est amenée à traiter à cette occasion.
Les finalités poursuivies par Privanot à l’occasion des traitements de données à caractère personnel sont :
- de manière générale, la bonne exécution de la mission qui lui est confiée,
- plus spécifiquement, l’accès à certaines données à caractère personnel à l’occasion des conseils dispensés sur des dossiers en particulier.
Les données sont récoltées auprès du client de Privanot.
Les catégories de données traitées concernent le client de Privanot et ses collaborateurs, les propres clients de ce dernier et/ou toute autre personne en contact avec celui-ci.
Privanot s’assure de n’accéder qu’aux données nécessaires pour l’accomplissement de ses missions.
Privanot traite les données dans le cadre de la réalisation de ses intérêts légitimes de consultant en matière de protection des données et de sécurité de l’information.
Les données ne sont pas conservées et ne sont pas transférées à des tiers.
7. Traitements effectués par Privanot dans le cadre du « Phishing Defence Service » (PDS)
Grâce à l’utilisation du logiciel PDS mis à disposition par Privanot, tout employeur, client de Privanot, peut sensibiliser ses collaborateurs aux risques en matière de phishing. Ceux-ci recevront des emails de simulation de phishing et devront suivre des sessions en ligne de sensibilisation en matière de cybercriminalité.
Privanot agit dans le cadre du service PDS en tant que sous-traitant de l’employeur. Privanot est amenée, pour le compte de l’employeur, à traiter les données des collaborateurs dans le cadre de la gestion du service de sensibilisation PDS et à fournir un rapport d’activités à celui-ci. Les données des collaborateurs, personnes concernées, sont récoltées auprès de l’employeur ou à l’occasion de l’utilisation du logiciel.
Les catégories de données traitées sont les suivantes :
- données d’identification (prénom, nom, adresse e-mail professionnelle),
- données professionnelles (nom de l’employeur, secteur d’activités),
- données liées aux simulations de phishing (e-mails de phishing reçus, e-mails de phishing signalés),
- données liées aux activités des sessions de sensibilisation (résultats, sessions suivies, etc.).
Les traitements qui découlent de l’utilisation du logiciel sont nécessaires à la réalisation des intérêts légitimes de l’employeur, par exemple la protection contre la cybercriminalité.
Privanot ne transfère pas les données à des tiers et ne les conserve que le temps de l’utilisation du logiciel par les collaborateurs.
8. Quelles sont les mesures de protection des données mises en place par Privanot ?
Privanot traite toutes les données de manière confidentielle.
Lorsque Privanot agit en tant que délégué à la protection des données, elle respecte strictement son obligation légale de secret professionnel. Privanot dispose d’un règlement d’ordre intérieur qui lui permet de garantir le respect des conditions d’indépendance et d’absence de conflit d’intérêts dans lesquelles doit se dérouler la mission de délégué à la protection des données.
Privanot prend toutes les mesures raisonnables afin de garantir la protection des données à caractère personnel traitées (confidentialité, intégrité, disponibilité). Privanot s’efforce de prendre les mesures techniques et organisationnelles adéquates pour éviter le traitement non autorisé des données à caractère personnel.
Privanot utilise des logiciels de gestion de dossiers dont la sécurité a été vérifiée (Skedify, Omnitracker, etc.) et fait appel à des sous-traitants fiables, telle que la Fédération Royale du Notariat belge pour la gestion de son parc informatique et la conservation des données.
Privanot met à disposition de ses clients toutes les informations nécessaires pour apporter la preuve du respect de ses obligations en matière de protection des données.
Spécifiquement, les mesures de protection suivantes sont adoptées :
- instructions aux collaborateurs relatives à la protection des données à caractère personnel et à l’utilisation du matériel informatique,
- instructions aux sous-traitants amenés à traiter les données et encadrement contractuel strict,
- mesures de sécurité physique telles que l’installation d’un système d’alarme ou de caméras de vidéosurveillance,
- backup des données et conservation de celles-ci dans l’espace économique européen,
- mesures de sécurité informatique telles que l’installation d’antivirus et d’anti-malware, l’utilisation de mots de passe pour les accès aux données.
Ces mesures sont réévaluées à intervalles réguliers.
9. Quels sont les droits des personnes concernées et comment les exercer ?
Lorsque Privanot agit en tant que responsable du traitement, les personnes concernées peuvent exercer directement auprès de celle-ci leurs droits en matière de protection des données à caractère personnel.
Ainsi, les personnes concernées disposent du droit de recevoir une information claire concernant le traitement de leurs données à caractère personnel. La présente politique tend à remplir cette obligation.
Les personnes concernées disposent par ailleurs du droit de demander des informations additionnelles à Privanot dans le cadre du traitement de leurs données à caractère personnel. Il s’agit de leur droit d’accès.
Sous certaines conditions, les personnes concernées disposent également d’un droit de rectification et d’effacement des données ainsi que d’un droit d’opposition ou de retrait du consentement à leur utilisation.
Encore, les personnes concernées ont la possibilité, en cas de contestation liée au traitement de leurs données, de demander à Privanot à ce que certains traitements soient suspendus. Il s’agit de leur droit à la limitation du traitement.
Enfin, si elles estiment que leurs droits ne sont pas respectés, elles sont habilitées à introduire une réclamation auprès de l’Autorité de protection des données ou à introduire un recours juridictionnel.