Demandez un devis

067/87.00.47

GDPR

POLITIQUE DE LA VIE PRIVEE DE LA MENUISERIE INDUSTRIELLE SA

 

Menuiserie Industrielle SA (MI)est l’entité responsable du traitement des données à caractère personnel en vertu de la législation relative à la protection des données (RGDP).

 

Menuiserie Industrielle SA attache une grande importance à votre vie privée et à la protection de vos données à caractère personnel en conformité avec la législation relative à la protection des données (RGDP), règlement de l’Union Européenne 2016/679 applicable à compter du 25 mai 2018 ainsi toute autre législation future. MI collectera et traitera des données à caractère personnel dans le cadre de la fourniture de biens et prestation de services.

 

 

Finalité générale

 

Gestion de nos clients

MI a besoin de vos coordonnées générales pour la gestion des commandes, les livraisons, la facturation des services matériels et immatériels. Le suivi de la solvabilité, la gestion du contentieux, y compris le recouvrement de créances.

 

Gestion de nos fournisseurs

MI a besoin de vos coordonnées générales pour la gestion des commandes émises, le paiement des fournisseurs.

La prospection de fournisseurs potentiels et leur évaluation.

 

 

Fondement du traitement

 

Consentement de la personne concernée

La personne concernée a consenti au traitement des ses données à caractère personnel pour une ou plusieurs finalités spécifiques, art 6.1a du GDPR (tout en répondant aux conditions telles que définies à l’article 7).

 

Nécessaire à l’exécution du contrat

Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci, art 6.1b du GDPR.

 

Obligation légale

Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, art 6.1c du GDPR.

 

 

 

Protection de vos données

 

Nous protégeons vos données à caractère personnel contre la destruction, la perte, la divulgation ou l’accès non-autorisé en hébergeant vos données sur une plateforme cloud qui est elle-même protégée contre la perte, les dommages ou toute autre fuite de données à caractère personnel.

Seuls nos fournisseurs de service (informatique) peuvent avoir accès à vos données

 

Soyez assuré que vos données à caractère personnel ne sont transmises à des tiers sans votre consentement écrit.

 

Vos droits en tant que personne concernée

 

En tant que personne concernée vous avez le droit à l’information et le droit d’accès à vos données à caractère personnel. Pour cela, vous devez introduire une demande par écrit en y joignant la copie de votre carte d’identité.

 

Vous pouvez à tout moment modifier vos données (adresse, numéro de téléphone, …) et également introduire une « demande à l’oubli » c’est-à-dire l’effacement total de vos données à caractère personnel à la fin du contrat.

MI gardera vos données à caractère personnel aussi longtemps que la loi nous le permet ou pour une plus longue période si cela s’avère nécessaire (en cas le litige par exemple).

 

 

 

Contact

 

Si vous avez des questions concernant l’administration de vos données à caractère personnel, contactez-nous à l’adresse menuiseri.industrille@live.be

D’autres informations vous attentent sur le site https://www.privacycommission.be/fr

 

 

 

 

FAQ

Notions de base

Qu’est-ce que des « données à caractère personnel » ?

Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable (appelée «personne concernée»);

Est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Exemples : nom, adresse, téléphone, e-mail, données biométriques, fichiers clients, fournisseurs, sous-traitants, membre du personnel mais aussi profilage, données sociales et fiscales, « Checkinatwork », géolocalisation, …

Les données professionnelles sont-elles des données à caractère personnel ?

Oui. Le GDPR définit les données à caractère personnel de manière très large. Dès lors qu’une personne physique peut-être identifiée ou identifiable à partie de données professionnelles, ce sont des données à caractère personnel au sens du GDPR.

Qu’entend-on par « traitement de données » ?

Il s’agit de toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel,

Exemples : la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, la consultation, l'utilisation, la communication, la diffusion ou toute autre forme de mise à disposition, la limitation, l'effacement, la destruction, la géolocalisation ou le profilage

Qu’entend-on par « finalités de traitement » ?

Pour chaque traitement (enregistrement, collecte, communication à des tiers, …), il faut préciser clairement la finalité.

Exemples : la gestion de la clientèle, la gestion du contentieux, la comptabilité, l’administration du personnel, la sécurité, l’administration des actionnaires et des associés, la gestion des sous-traitants, le direct marketing..

L’entreprise doit s’assurer que les finalités sont légitimes et explicites mais également qu’elle n’utilise pas les données dans d’autres buts que ceux prévus initialement.

Exemple : il n’est pas possible d’utiliser les données de la comptabilité pour faire de la publicité… Si cela devait être le cas, l’entreprise s’expose à des sanctions.

Qui est le responsable du traitement?

Le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.

Exemple : la SA, La SPRL, l’indépendant, …dès que la SA traite des données pour elle-même, elle est responsable du traitement.

Qui est le sous-traitant?

Le sous-traitant est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Exemple : le secrétariat social

Qui est le destinataire?

Le destinataire est la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers.

Exemple : assurance, banque, pouvoir adjudicateur, …

Qu'est-ce que du « profilage »?

Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

Qu'est-ce qu’un fichier?

Un fichier est tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Légitimité des traitements

Quand est ce que je peux traiter des données ?

Le traitement est permis si, et dans la mesure où, il repose sur au moins une des

bases suivantes :

  • la personne concernée a donné son consentement
  • le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie.
  • Le traitement est nécessaire au respect d’une obligation légale (ex : sécurité sociale, impôts, marchés publics, …)
  • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du
  • traitement ou par un tiers (balance des intérêts) (ex : contrôle des e-mails)

Exemple : un entrepreneur conclut un contrat d’entreprise avec un client. Les données du client (son nom, son adresse, son téléphone) sont des données à caractère personnel que l’entrepreneur peut traiter légalement dans le cadre de l’exécution du contrat. Par contre, il ne peut pas se servir de ces données pour de la publicité ultérieurement sauf si le client a marqué expressément son accord (consentement).

Quels sont les deux obligations fondamentales du GDPR ?

Les deux principes clés de la réglementation sont :

  • responsabilité ou accountability
  • transparence ou tranparency

Comment se traduisent-ils ?

  • par l’obligation de démontrer que l’on respecte les principes du GDPR
  • par l’obligation d’informer les personnes concernées

Quelles règles respecter pour être en conformité ?

Pour être en conformité, les entreprises veillent à ce que leurs données soient :

  • Traitées de manière légale et transparente:
  • Collectées dans un but déterminé, explicite et légal;
  • Pertinentes et limitées à l’objectif poursuivi;
  • Exactes et tenues à jour;
  • Conservées pas plus longtemps que nécessaire;
  • Adéquatement sécurisées.

Pour démontrer cette conformité, les entreprises doivent

  • créer un registre des activités de traitements;
  • traiter le minimum de données. Si des données ne sont pas nécessaires, il ne faut pas les demander ou les conserver.

    Exemple : est-ce nécessaire de demander la date de naissance du client dans le cadre d’un contrat d’entreprise ? Non.
  • rédiger une privacy notice;
  • élaborer une politique interne;
  • désigner un employé responsable de protection des données (DPO) ;
  • effectuer une analyse d’impact;
  • mettre en place des procédures efficaces.

Quelles informations faut-il communiquer aux personnes concernées ?

Dans le cadre de la transparence, le responsable de traitement doit informer les personnes concernées des éléments suivants :

  • Identité et coordonnées du responsable du traitement
  • Coordonnées du délégué à la protection des données (le cas échéant)
  • Finalités du traitement auquel sont destinées les données à caractère personnel, ainsi que la base juridique du traitement
  • Destinataires ou catégories de destinataires de données à caractère personnel
  • Information sur le transfert international (le cas échéant)
  • Durée de conservation des données à caractère personnel, ou si cela n’est pas possible, des critères utilisés pour déterminer cette durée
  • Droit de demander au responsable du traitement l’accès, la rectification ou l’effacement des données à caractère personnel, et le cas échéant le droit de retirer son consentement
  • Droit d’introduire une réclamation auprès d’une autorité de contrôle

La durée

Combien de temps puis je conserver des données à caractère personnel ?

La durée de conservation est définie au cas par cas en tenant compte du principe de proportionnalité.

Exemple : une entreprise conserve les données de ses clients pendant 10 ans dans le cadre de la garantie décennale. C’est justifié même si ce n’est pas une obligation.

Le consentement

Qu’entend-on par consentement de la personne concernée ?

Le consentement est toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Le consentement porte sur les finalités pour lesquelles la personne concernée a reçu des informations claires et compréhensibles.  On ne peut dès lors utiliser les données dans d’autres buts que ceux prévus initialement ou que l’on considérerait comme implicitement compris.

Exemple de consentement valable : opt-in : je signe un document qui reprend le fait que mes données pourront être utilisées pour de la publicité ou qu’elles pourront être communiquées à d’autres personnes pour de la publicité. Attention : il est important de conserver une preuve de ce consentement

Exemple de consentement non valable : une clause dans les conditions générales, une déclaration de confidentialité faisant partie d’un logiciel, une case pré-cochée, l’absence de réaction ou le silence.

Les consentements obtenus sous l’ancienne réglementation « privacy » restent-ils valables ?

Si le consentement donné précédemment remplit les conditions du GDPR, il ne doit plus être demandé de nouveau. Dans les autres cas, un nouveau consentement est requis.

Le registre des activités de traitement

Qu’est-ce que le registre des activités de traitements ?

Le registre des activités de traitement est un outil essentiel des entreprises pour respecter le principe de responsabilité et faire un inventaire de tous les traitements de données effectuées par le responsable du traitement.

Un certain nombre d’informations relatives aux traitements opérés doivent figurer dans ce Registre :

  • dans quel but sont-elles traitées,
  • quelles sont les catégories de personnes concernées par les données traitées,
  • quels sont les destinataires des données,
  • quel est leur délai de conservation,
  • quelles mesures de sécurité sont prises,
  • quelles informations sont données aux personnes concernées

Qui doit tenir un registre ? le registre est-il obligatoire ?

Les entreprises qui sont responsables du traitement (par ex. l’employeur) mais également les sous-traitants (par ex. le secrétariat social) doivent tenir un registre des activités de traitements.

Le GDPR prévoit une exception pour les entreprises de moins de 250 travailleurs. Cependant, des exceptions existent à cette exception : lorsque le traitement n'est pas occasionnel ou si le traitement comporte un risque ou s’il porte sur des données sensibles ou des condamnations pénales. Il faut constater que les traitements comme la gestion du personnel, la gestion de la clientèle ou encore la gestion des fournisseurs ne sont pas occasionnels pour les entreprises de moins de 250 travailleurs. Elles sont donc finalement tenues d’établir un registre.

La Commission pour la protection de la vie privée recommande vivement à TOUS les responsables de traitement et sous-traitants d’établir ce registre. 

Le DPO (Délégué à la Protection des Données)

Qu’est-ce qu’un DPO ?

Le DPO est le Data Protection Officer, soit le Délégué à la protection des données.

Ses missions sont :

  • Informer et conseiller le responsable du traitement sur ses obligations GDPR ;
  • Contrôler le respect du GDPR ;
  • Dispenser des conseils concernant l’analyse d’impact ;
  • Coopérer avec l’Autorité de contrôle et être le point de contact pour l’autorité de contrôle

Qui peut être désigné comme DPO ?

Il peut s’agir d’une personne externe à la société ou d’un travailleur pour autant que ses fonctions ne soient pas incompatibles avec cette tâche.

Quand un DPO est-il obligatoire ?

Le DPO est obligatoire lorsque l’activité de base du responsable du traitement est un traitement à grande échelle de données sensibles ou judiciaires ou lorsque cette activité exige un suivi régulier et systématique des personnes concernées

Exemple d’une activité de base : Une société de sécurité privée qui assure la surveillance d’un certain nombre de centres commerciaux privés et d’espaces publics. L’activité de base de la société est la surveillance, qui est elle-même indissociablement liée au traitement de données à caractère personnel. Par conséquent, cette société doit également désigner un DPO.

En revanche, tous les organismes exercent certaines activités comme la rémunération de leurs employés ou les activités d’assistance informatique classiques. Ces activités constituent des exemples de fonctions de soutien nécessaires à l’activité de base ou principale de l’organisme.

Exemple du traitement à grande échelle : le traitement des données de clients par une compagnie d’assurance ou une banque dans le cadre du déroulement normal de ses activités.

Par contre, n’est pas un traitement à grande échelle celui par un médecin, exerçant à titre individuel, des données de ses patients.

Le « databreach » (violation des données)

Quand est-ce qu'on parle de violation de données à caractère personnel ou « databreach » ?

Une violation des données est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

Exemple : la perte d’un PC portable ou d’un smart phone peut constituer un « databreach » s’il y a un risque pour les données qui s’y trouvent, comme des données sensibles par exemple.

Contrôle et sanctions

Qui est l'autorité de contrôle?

En Belgique, il s’agit de la Commission de la vie privée (bientôt l’Autorité de protection des données).

Quelles sont les sanctions en cas de non-conformité au GDPR ?

Les sanctions prévues par le GDPR à l’encontre du responsable de traitement :

  • Chaque autorité de contrôle (comme la commission de la vie privée) peut, en cas de violation du Règlement, imposer :
  • des mesures correctrices au responsable du traitement (interdiction de traitement, obligation d’information à la personne concernée,…)
  • des amendes administratives pouvant s’élever
    • jusqu’à 10 millions ou 2 % du chiffre d’affaire pour des violations concernant les registres, la sécurité, le DPO l’analyse d’impact, ..
    • jusqu’à 20 millions ou 4 % du chiffre d’affaire pour des violations relatives à la licéité du traitement, au consentement et à l’interdiction de traitement des données sensibles.
  • Toute personne ayant subi un dommage moral ou matériel du fait de la violation du Règlement peut réclamer une indemnisation : ce recours est basé sur le droit de la responsabilité classique d’une faute en lien avec le dommage.