Politique de Protection de Données applicable au CF2M asbl en sa qualité de Sous-traitant

L’ASBL Centre de Formation 2 Mille, dont le siège social est sis Avenue du Parc 87-89, 1060
Bruxelles, avec le numéro d’entreprise 0433.424.902, inscrite au registre des personnes
morales de Bruxelles, et au même titre, ses entités liées, CF2D et Pixel&co, valablement
représentée par Maroussia del Marmol en sa qualité de directrice

Ci-après dénommée « le sous-traitant ou CF2M»;

Déclare ce qui suit :

Le sous-traitant reconnaît l’importance du traitement sécurisé des données à caractère
personnel de nos clients. À l’aide de cette politique relative au respect de la vie privée, le
responsable du traitement désire donner une idée du traitement de vos données à caractère
personnel.
Cette politique relative au respect de la vie privée a été établie, tout en respectant le
Règlement européen relatif à la protection des données (soit le « RGPD ; Règlement Général
sur la Protection des Données »).

Article 1. Champ d’application de la Politique relative au respect de la vie privée

Cette Politique relative au respect de la vie privée est considérée comme une annexe du
Contrat principal entre CF2M et le client. Toute dérogation à cette Politique relative au
respect de la vie privée sera uniquement valable si les deux parties ont donné leur accord par
écrit. Le traitement de ces données aura lieu conformément à la loi du 8 décembre 1992 sur le
respect de la vie privée et ses décrets d’application, dont le décret du 13 février 2001 visant à
adapter cette loi à la Directive européenne 95/46/CE du 24 octobre 1995, relative à la
protection des personnes physiques à l’égard du traitement des données à caractère personnel
et à la libre circulation de ces données et, à partir du 25 mai 2018, conformément au
Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la
protection des personnes physiques à l’égard du traitement des données à caractère personnel
et à la libre circulation de ces données.

Article 2. Définitions

Pour l’application de cette politique relative au respect de la vie privée, les notions suivantes
auront les significations suivantes conformément au texte du RGPD.

« Données à caractère personnel » : toutes les informations à propos d’une personne physique
identifiée ou identifiable (« la personne concernée ») ; par identifiable, nous considérons une
personne physique qui peut être identifiée directement ou indirectement, notamment à l’aide
d’un identifiant comme un nom, un numéro d’identification, des données de localisation, un
identifiant en ligne ou à l’aide d’un ou de plusieurs éléments caractéristiques pour l’identité

physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette
personne physique.

« Données sensibles » : les données à caractère personnel desquelles ressortent la race ou
l’origine ethnique, les idées politiques, les convictions religieuses ou philosophiques, ou
l’adhésion à un syndicat, et le traitement des données génétiques, des données biométriques
des données se rapportant au comportement sexuel ou à l’orientation sexuelle d’une personne.

« Infraction en rapport avec les données à caractère personnel » : une infraction au niveau de
la protection qui donne lieu, par accident ou de manière illégitime, à la violation, la
destruction, la perte, la modification ou la diffusion non autorisée des données envoyées,
sauvegardées ou autrement traitées.

« Sous-traitant » : (dans ce cas, CF2M) une personne physique ou une personne morale, un
organisme public, un service ou un autre organe qui traite des données à caractère personnel
pour le client responsable du traitement; ou tout organisme qui reçoit et traite ces informations
pour le compte des clients du CF2M.

« Traitement » : une opération ou un ensemble d’opérations se rapportant aux données à
caractère personnel ou à l’ensemble de données à caractère personnel, exécutées ou non par
l’intermédiaire de procédés automatisés, comme la collecte, la détermination, le classement, la
structuration, la sauvegarde, le traitement ou la modification, la demande, la consultation,
l’utilisation, la fourniture au moyen d’un envoi, la diffusion ou d’une autre manière la mise à
disposition, l’alignement ou la combinaison, la protection, l’effacement ou la destruction de
données.

« Responsable du traitement » : une personne physique ou une personne morale, un
organisme public, un service ou un autre organe qui seul ou avec d’autres, définit l’objet (la
finalité) et les moyens du traitement des données à caractère personnel (dans ce cas : vous, le
client).

« DPO » : Le responsable pour la protection des données ; le Data Protection Officer au sein
du CF2M asbl est Hélène Moukoudi et elle peut être contactée à l’adresse électronique
suivante : helene.moukoudi@cf2m.be

Article 3. Le traitement des données à caractère personnel

Le CF2M garantit que vos données à caractère personnel :

  • Sont traitées d’une manière légitime, correcte et transparente
  • Sont collectées à des fins biens déterminés, expressément décrites et justifiées
  • Sont suffisantes, pertinentes et doivent se limiter à ce qui est nécessaire pour les
    objectifs pour lesquels elles sont traitées
  • En raison de la prise de mesures techniques ou organisationnelles appropriées ; une
    protection appropriée des données à caractère personnel est garantie, et que les
    données à caractère personnel sont entre autres protégées contre un traitement non
    autorisé ou injustifié et contre une perte, une destruction ou une détérioration
    involontaire

Il incombe au responsable du traitement (le client) de s’assurer du respect des conditions de
licéité du traitement au sens de l’article 6, 1 du RGPD.

Art. 6.1 du RGPD
1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes
est remplie:
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour
une ou plusieurs finalités spécifiques;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est
partie ou à l’exécution de mesures pré-contractuelles prises à la demande de celle-ci;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du
traitement est soumis;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou
d’une autre personne physique;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de
l’exercice de l’autorité publique dont est investi le responsable du traitement;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du
traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits
fondamentaux de la personne concernée qui exigent une protection des données à caractère
personnel, notamment lorsque la personne concernée est un enfant.

Les données à caractère personnel susmentionnées renvoient entre autres informations
concernant le numéro de registre national, le nom, le prénom, l’âge, l’adresse, le sexe, la date
et le lieu de naissance, une photo, la fonction professionnelle, l’employeur, l’adresse
électronique, le poste de travail, données à caractère financier (compte bancaire).

Données personnelles supplémentaires : le numéro de téléphone, l’adresse électronique, le
numéro de GSM. Cette liste est non exhaustive et lors de la prise des informations, les
personnes concernées seront informées de la nature exacte des informations recueillies.

Article 4 : Obligations de CF2M

CF2M ne gardera pas les données plus longtemps que nécessaire à l’exécution des tâches pour
lesquelles elles lui ont été confiées. Si les données ne sont plus nécessaires, elles seront
supprimées, de façon permanente et appropriée, à la demande du client.

CF2M veillera à ce que l’accès aux données à caractère personnel devant être traitées soit
limité aux collaborateurs chargés de ce traitement, sous son autorité ou sa responsabilité, et
qui en ont besoin pour effectuer les tâches confiées par le client dans le cadre de cette
convention (Le responsable de traitement désigné).

Le CF2M s’engage à conscientiser les collaborateurs chargés du traitement de ces données
sous son autorité ou sa responsabilité de l’importance de respecter les dispositions de cette
convention.

CF2M aidera autant que possible le client, en prenant des mesures techniques et
organisationnelles appropriées, à remplir son obligation de donner suite aux demandes de
personnes dont des données à caractère personnel sont traitées.

Article 5. Conditions relatives aux sous-traitants /Fournisseurs du CF2M asbl

CF2M asbl a le droit de faire appel à des sous-traitants pour effectuer des activités de
traitement spécifiques pour le compte du client. Ces sous-traitants ne recevront que les
données nécessaires à l’exécution de la tâche qui leur aura été confiée et ne pourront utiliser
ces données que pour mener à bien ladite tâche.

CF2M est responsable du respect par le sous-traitant de ses obligations dans le cadre du
RGPD et conclura avec chacun d’entre eux une convention garantissant au minimum les
mêmes droits et obligations que ceux repris dans la présente convention.

Le client peut, à tout moment et sur simple demande, connaître la liste des sous-traitants
impliqués dans le traitement des données à caractère personnel qu’il aura fournies.

Article 6. Le registre des activités de traitement

Le responsable du traitement établi un registre des activités de traitement, dans lequel les
éléments suivants sont décrits de manière détaillée par prestation de services du responsable
du traitement :

1° Quelles catégories de données à caractère personnel sont traitées ?
2° Qui peut recevoir ces données à caractère personnel (en interne/en externe) ?
3° Pendant combien de temps les données à caractère personnel sont conservées ?
4° De quelle manière les données à caractère personnel sont-elles protégées ?
5° Qui a accès aux données à caractère personnel (en interne/en externe) ?
7° Les fins de traitement

Si vous avez des questions ressortant de ce cadre et qui ne sont pas expliquées dans cette
politique, nous vous demandons de contacter les responsables de traitement (votre contact
pour l’exécution du travail demandé).

Article 7. Les mesures techniques et organisationnelles

Tout en tenant compte de la situation de la technique, des frais d’exécution, ainsi que de la
nature, de l’importance, du contexte et des objectifs de traitement et des risques variés
concernant la probabilité et la gravité pour les droits et les libertés des personnes, le
responsable du traitement prend des mesures techniques et organisationnelles appropriées afin

que les données à caractère personnel soient traitées en toute sécurité. Le sous-traitant
(CF2M) garantit conformément à l’article 32 du RGPD prendre les mesures nécessaires,
portant entre autres sur :

• A – l’utilisation d’un pseudonyme et le cryptage des données à caractère personnel ;
• B – la capacité à garantir sur une base permanente la confidentialité, l’intégrité, la
disponibilité et la résilience des systèmes de traitement et des services ;
• C – la capacité de rétablir au moment opportun la disponibilité de et l’accès aux
données à caractère personnel dans le cas d’un incident physique ou technique ;
• D – une procédure pour tester, estimer et évaluer à intervalles réguliers l’efficacité des
mesures techniques et organisationnelles visant à protéger le traitement.

Le responsable du traitement garantit que ses travailleurs, ayant accès aux données à caractère
personnel, se limitent à ceux impliqués dans l’exercice de la prestation de services. De même,
ces travailleurs sont contractuellement liés à une obligation de confidentialité.

Article 8. Les droits de la personne concernée (le client) :

Généralités

Dans le cadre du RGPD, les personnes concernées ont les droits suivants vis-à-vis de leurs
données à caractère personnel :

1° Droit de consultation
2° Droit de rectification des données à caractère personnel incorrectes
3° Droit de suppression des données (« Droit d’oubli »)
4° Droit à la limitation du traitement
5° Droit au transfert des données
6° Droit d’objection

Le cas échéant, CF2M garantit de répondre à la demande dans le mois, suivant la réception de
la demande. Cela implique une procédure renseignant :

1° quel droit a été demandé par quelle personne concernée et
2° quelle conséquence y a été donnée par le responsable du traitement au sein de CF2M.

Si la Personne concernée ou le client constate que l’un des sous-traitants traite les données à
caractère personnel de manière contraire au RGPD, la Personne concernée peut en faire part
au responsable du traitement. Après avoir pris connaissance d’une telle plainte, le responsable
du traitement tâche, dans les trois jours ouvrables de prendre contact avec le sous-traitant
accusé. Dans le mois à compter de la réception de la plainte, le responsable du traitement fait
part des suites à la Personne concernée.

Conformément à l’article 77 du RGPD, la personne concernée a le droit d’introduire
directement une plainte auprès l’Autorité de protection des données, si elle estime que ses
données à caractère personnel ne sont pas protégées et/ou traitées conformément au RGPD

Article 9. Effacer les Données à caractère personnel à la fin de la relation contractuelle

Le DPO garantit que dans le mois à compter de la fin du Contrat principal, les données à
caractère personnel traitées sont effacées ou cédées sur demande du client, à moins qu’une
disposition légale autorise le responsable du traitement à conserver les données à caractère
personnel pour une plus longue période.

Sur demande du client, il lui en fournit les preuves nécessaires.

Article 10. Demande de données à caractère personnel par des services publics

Le CF2M informe le client dans les 3 jours ouvrables s’il :

(a) reçoit une demande d’informations, une citation ou une demande d’enquête ou de contrôle
de la part d’une autorité publique en rapport avec le traitement des données à caractère
personnel, sauf lorsque le responsable du traitement n’est pas légalement autorisé à effectuer
une telle transmission

(b) a l’intention de fournir des données à caractère personnel à une autorité publique

(c) reçoit d’un tiers ou d’un travailleur, d’un client ou d’un fournisseur du client une demande
de publication des données à caractère personnel du client ou d’informations se rapportant au
traitement des données à caractère personnel du client

Le responsable du traitement donne au client 72 heures, à compter de la notification, pour
faire part de ses réserves s’agissant de cette transmission des données à caractère personnel.

Article 11. Mesures si une infraction survient en rapport avec les données à caractère
personnel

Le responsable du traitement a l’obligation de communiquer, dans les 72 heures, à l’autorité
de surveillance belge les infractions relatives à la protection des données à caractère
personnel. Ceci, sauf s’il n’est pas probable que l’infraction en rapport avec les données à
caractère personnel implique un risque pour les droits et les libertés de la personne concernée
(des personnes concernées).

Le responsable du traitement informe le client sans retard déraisonnable dès qu’il a pris
connaissance d’une infraction en rapport avec les données à caractère personnel. Il est
convenu que le responsable du traitement et le client se contactent dans les 48 heures suivant
la prise de connaissance de l’infraction par le responsable du traitement et décident de
manière conjointe si l’infraction est transmise à l’autorité de surveillance belge compétente.

L’obligation susmentionnée vaut également si le responsable du traitement, p. ex. grâce à une
plainte introduite par une personne concernée, a pris effectivement connaissance d’une
violation des données à caractère personnel chez un sous-traitant ou un tiers.

Si l’infraction en rapport avec les données à caractère personnel implique probablement un
risque élevé pour les droits et les libertés de personnes physiques, le sous-traitant informe
immédiatement le responsable du traitement chez le client de l’infraction en rapport avec les
données à caractère personnel conformément à l’article 34 du RGPD.

Article 12. Autres dispositions

Le droit belge s’applique à cette Politique relative au respect de la vie privée. Les parties
soumettront exclusivement leurs litiges afférents à cette Politique relative au respect de la vie
privée aux tribunaux de Bruxelles.

Le DPO fournira la collaboration nécessaire si un audit est réalisé auprès du CF2M pour le
compte du client. Le client supporte les coûts du contrôleur désigné et de l’audit réalisé.
L’audit se limitera toujours aux systèmes utilisés par le Sous-traitant pour les traitements de
données du client concerné.

Fermer le menu