Politique de Protection de Données
applicable au CF2M asbl
en sa qualité de Sous-traitant

Article 1. Champ d’application de la Politique relative au respect de la vie privée.

Cette Politique relative au respect de la vie privée est considérée comme une annexe du Contrat principal entre CF2M et le client. Toute dérogation à cette Politique relative au respect de la vie privée sera uniquement valable si les deux parties ont donné leur accord par écrit. Le traitement de ces données aura lieu conformément à la loi du 8 décembre 1992 sur le respect de la vie privée et ses décrets d’application, dont le décret du 13 février 2001 visant à adapter cette loi à la Directive européenne 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et, à partir du 25 mai 2018, conformément au Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Article 2. Définitions.

Pour l’application de cette politique relative au respect de la vie privée, les notions suivantes auront les significations suivantes conformément au texte du RGPD. « Données à caractère personnel » : toutes les informations à propos d’une personne physique identifiée ou identifiable (« la personne concernée ») ; par identifiable, nous considérons une personne physique qui peut être identifiée directement ou indirectement, notamment à l’aide d’un identifiant comme un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à l’aide d’un ou de plusieurs éléments caractéristiques pour l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.
« Données sensibles » : les données à caractère personnel desquelles ressortent la race ou l’origine ethnique, les idées politiques, les convictions religieuses ou philosophiques, ou l’adhésion à un syndicat, et le traitement des données génétiques, des données biométriques des données se rapportant au comportement sexuel ou à l’orientation sexuelle d’une personne. « Infraction en rapport avec les données à caractère personnel » : une infraction au niveau de la protection qui donne lieu, par accident ou de manière illégitime, à la violation, la destruction, la perte, la modification ou la diffusion non autorisée des données envoyées, sauvegardées ou autrement traitées.
« Sous-traitant » : (dans ce cas, CF2M) une personne physique ou une personne morale, un organisme public, un service ou un autre organe qui traite des données à caractère personnel pour le client responsable du traitement; ou tout organisme qui reçoit et traite ces informations pour le compte des clients du CF2M.
« Traitement » : une opération ou un ensemble d’opérations se rapportant aux données à caractère personnel ou à l’ensemble de données à caractère personnel, exécutées ou non par l’intermédiaire de procédés automatisés, comme la collecte, la détermination, le classement, la structuration, la sauvegarde, le traitement ou la modification, la demande, la consultation, l’utilisation, la fourniture au moyen d’un envoi, la diffusion ou d’une autre manière la mise à disposition, l’alignement ou la combinaison, la protection, l’effacement ou la destruction de données.
« Responsable du traitement » : une personne physique ou une personne morale, un organisme public, un service ou un autre organe qui seul ou avec d’autres, définit l’objet (la finalité) et les moyens du traitement des données à caractère personnel (dans ce cas : vous, le client).
« DPO » : Le responsable pour la protection des données ; le Data Protection Officer au sein du CF2M asbl est Hélène Moukoudi et elle peut être contactée à l’adresse électronique suivante : helene.moukoudi@cf2m.be

Article 3. Le traitement des données à caractère personnel.

Le CF2M garantit que vos données à caractère personnel :
- Sont traitées d’une manière légitime, correcte et transparente - Sont collectées à des fins biens déterminés, expressément décrites et justifiées - Sont suffisantes, pertinentes et doivent se limiter à ce qui est nécessaire pour les objectifs pour lesquels elles sont traitées - En raison de la prise de mesures techniques ou organisationnelles appropriées ; une protection appropriée des données à caractère personnel est garantie, et que les données à caractère personnel sont entre autres protégées contre un traitement non autorisé ou injustifié et contre une perte, une destruction ou une détérioration involontaire.
Il incombe au responsable du traitement (le client) de s’assurer du respect des conditions de licéité du traitement au sens de l’article 6, 1 du RGPD. Art. 6.1 du RGPD 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures pré-contractuelles prises à la demande de celle-ci;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Les données à caractère personnel susmentionnées renvoient entre autres informations concernant le numéro de registre national, le nom, le prénom, l’âge, l’adresse, le sexe, la date et le lieu de naissance, une photo, la fonction professionnelle, l’employeur, l’adresse électronique, le poste de travail, données à caractère financier (compte bancaire). Données personnelles supplémentaires : le numéro de téléphone, l’adresse électronique, le numéro de GSM. Cette liste est non exhaustive et lors de la prise des informations, les personnes concernées seront informées de la nature exacte des informations recueillies.

Article 4 : Obligations de CF2M

CF2M ne gardera pas les données plus longtemps que nécessaire à l’exécution des tâches pour lesquelles elles lui ont été confiées. Si les données ne sont plus nécessaires, elles seront supprimées, de façon permanente et appropriée, à la demande du client. CF2M veillera à ce que l’accès aux données à caractère personnel devant être traitées soit limité aux collaborateurs chargés de ce traitement, sous son autorité ou sa responsabilité, et qui en ont besoin pour effectuer les tâches confiées par le client dans le cadre de cette convention (Le responsable de traitement désigné).
Le CF2M s’engage à conscientiser les collaborateurs chargés du traitement de ces données sous son autorité ou sa responsabilité de l’importance de respecter les dispositions de cette convention. CF2M aidera autant que possible le client, en prenant des mesures techniques et organisationnelles appropriées, à remplir son obligation de donner suite aux demandes de personnes dont des données à caractère personnel sont traitées.

Article 5. Conditions relatives aux sous-traitants /Fournisseurs du CF2M asbl.

CF2M asbl a le droit de faire appel à des sous-traitants pour effectuer des activités de traitement spécifiques pour le compte du client. Ces sous-traitants ne recevront que les données nécessaires à l’exécution de la tâche qui leur aura été confiée et ne pourront utiliser ces données que pour mener à bien ladite tâche. CF2M est responsable du respect par le sous-traitant de ses obligations dans le cadre du RGPD et conclura avec chacun d’entre eux une convention garantissant au minimum les mêmes droits et obligations que ceux repris dans la présente convention.
Le client peut, à tout moment et sur simple demande, connaître la liste des sous-traitants impliqués dans le traitement des données à caractère personnel qu’il aura fournies.

Article 6. Le registre des activités de traitement

Le responsable du traitement établi un registre des activités de traitement, dans lequel les éléments suivants sont décrits de manière détaillée par prestation de services du responsable du traitement :
1° Quelles catégories de données à caractère personnel sont traitées ?
2° Qui peut recevoir ces données à caractère personnel (en interne/en externe) ?
3° Pendant combien de temps les données à caractère personnel sont conservées ?
4° De quelle manière les données à caractère personnel sont-elles protégées ?
5° Qui a accès aux données à caractère personnel (en interne/en externe) ?
6° Les fins de traitement Si vous avez des questions ressortant de ce cadre et qui ne sont pas expliquées dans cette politique, nous vous demandons de contacter les responsables de traitement (votre contact pour l’exécution du travail demandé).

Article 7. Les mesures techniques et organisationnelles.

Tout en tenant compte de la situation de la technique, des frais d’exécution, ainsi que de la nature, de l’importance, du contexte et des objectifs de traitement et des risques variés concernant la probabilité et la gravité pour les droits et les libertés des personnes, le responsable du traitement prend des mesures techniques et organisationnelles appropriées afin que les données à caractère personnel soient traitées en toute sécurité. Le sous-traitant (CF2M) garantit conformément à l’article 32 du RGPD prendre les mesures nécessaires, portant entre autres sur :
• A – l’utilisation d’un pseudonyme et le cryptage des données à caractère personnel ;
• B – la capacité à garantir sur une base permanente la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes de traitement et des services ;
• C – la capacité de rétablir au moment opportun la disponibilité de et l’accès aux données à caractère personnel dans le cas d’un incident physique ou technique ;
• D – une procédure pour tester, estimer et évaluer à intervalles réguliers l’efficacité des mesures techniques et organisationnelles visant à protéger le traitement. Le responsable du traitement garantit que ses travailleurs, ayant accès aux données à caractère personnel, se limitent à ceux impliqués dans l’exercice de la prestation de services. De même, ces travailleurs sont contractuellement liés à une obligation de confidentialité.

Article 8. Les droits de la personne concernée (le client) :

Généralités Dans le cadre du RGPD, les personnes concernées ont les droits suivants vis-à-vis de leurs données à caractère personnel :
1° Droit de consultation
2° Droit de rectification des données à caractère personnel incorrectes
3° Droit de suppression des données (« Droit d’oubli »)
4° Droit à la limitation du traitement
5° Droit au transfert des données
6° Droit d’objection Le cas échéant, CF2M garantit de répondre à la demande dans le mois, suivant la réception de la demande.

Cela implique une procédure renseignant :
1° quel droit a été demandé par quelle personne concernée
2° quelle conséquence y a été donnée par le responsable du traitement au sein de CF2M. Si la Personne concernée ou le client constate que l’un des sous-traitants traite les données à caractère personnel de manière contraire au RGPD, la Personne concernée peut en faire part au responsable du traitement.
Après avoir pris connaissance d’une telle plainte, le responsable du traitement tâche, dans les trois jours ouvrables de prendre contact avec le sous-traitant accusé. Dans le mois à compter de la réception de la plainte, le responsable du traitement fait part des suites à la Personne concernée. Conformément à l’article 77 du RGPD, la personne concernée a le droit d’introduire directement une plainte auprès l’Autorité de protection des données, si elle estime que ses données à caractère personnel ne sont pas protégées et/ou traitées conformément au RGPD.

Article 9. Effacer les Données à caractère personnel à la fin de la relation contractuelle.

Le DPO garantit que dans le mois à compter de la fin du Contrat principal, les données à caractère personnel traitées sont effacées ou cédées sur demande du client, à moins qu’une disposition légale autorise le responsable du traitement à conserver les données à caractère personnel pour une plus longue période. Sur demande du client, il lui en fournit les preuves nécessaires.

Article 10. Demande de données à caractère personnel par des services publics.

Le CF2M informe le client dans les 3 jours ouvrables s’il :
(a) reçoit une demande d’informations, une citation ou une demande d’enquête ou de contrôle de la part d’une autorité publique en rapport avec le traitement des données à caractère personnel, sauf lorsque le responsable du traitement n’est pas légalement autorisé à effectuer une telle transmission
(b) a l’intention de fournir des données à caractère personnel à une autorité publique
(c) reçoit d’un tiers ou d’un travailleur, d’un client ou d’un fournisseur du client une demande de publication des données à caractère personnel du client ou d’informations se rapportant au traitement des données à caractère personnel du client Le responsable du traitement donne au client 72 heures, à compter de la notification, pour faire part de ses réserves s’agissant de cette transmission des données à caractère personnel.

Article 11. Mesures si une infraction survient en rapport avec les données à caractère personnel

Le responsable du traitement a l’obligation de communiquer, dans les 72 heures, à l’autorité de surveillance belge les infractions relatives à la protection des données à caractère personnel. Ceci, sauf s’il n’est pas probable que l’infraction en rapport avec les données à caractère personnel implique un risque pour les droits et les libertés de la personne concernée (des personnes concernées).
Le responsable du traitement informe le client sans retard déraisonnable dès qu’il a pris connaissance d’une infraction en rapport avec les données à caractère personnel. Il est convenu que le responsable du traitement et le client se contactent dans les 48 heures suivant la prise de connaissance de l’infraction par le responsable du traitement et décident de manière conjointe si l’infraction est transmise à l’autorité de surveillance belge compétente.
L’obligation susmentionnée vaut également si le responsable du traitement, p. ex. grâce à une plainte introduite par une personne concernée, a pris effectivement connaissance d’une violation des données à caractère personnel chez un sous-traitant ou un tiers.
Si l’infraction en rapport avec les données à caractère personnel implique probablement un risque élevé pour les droits et les libertés de personnes physiques, le sous-traitant informe immédiatement le responsable du traitement chez le client de l’infraction en rapport avec les données à caractère personnel conformément à l’article 34 du RGPD.

Article 12. Autres dispositions

Le droit belge s’applique à cette Politique relative au respect de la vie privée. Les parties soumettront exclusivement leurs litiges afférents à cette Politique relative au respect de la vie privée aux tribunaux de Bruxelles.
Le DPO fournira la collaboration nécessaire si un audit est réalisé auprès du CF2M pour le compte du client. Le client supporte les coûts du contrôleur désigné et de l’audit réalisé. L’audit se limitera toujours aux systèmes utilisés par le Sous-traitant pour les traitements de données du client concerné.