DISPOSITIONS GÉNÉRALES EN MATIÈRES DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
EFT CONSTRUCT ASBL
– 25 mai 2018 –
Dernière mise à jour : 24/09/2018
____________________________________________________
1. Préambule
EFT CONSTRUCT ASBL, ayant son siège social avenue de la Gare, 141C – 4460 BIERSET, inscrite à la Banque-Carrefour des Entreprises sous le numéro 0860 754 442, et représentée par Sophie MENDOLIA – Coord. adm. et Fin. – Déléguée à la gestion journalière,
ci-après dénommée « l’Institution »,
accorde une grande importance à la protection adéquate des données qu’elle traite, et en particulier les données à caractère personnel.
Par le biais de sa Politique de confidentialité, point de départ dont relèvent toutes autres directives, règles ou procédures mise en oeuvre par l’Institution en la matière, l’Institution énonce les principes généraux qu’elle s’est fixée et que doivent respecter ses collaborateurs internes et externes en matière de protection des données à caractère personnel mises à disposition de l’Institution.
Nous vous recommandons de la lire attentivement et de la consulter régulièrement – retrouvez notre Politique de confidentialité sur www.eftconstruct.be. L’Institution y indique que les données à caractère personnel sont traitées de façon strictement confidentielle et que, afin d’empêcher dans la mesure du possible tout accès non autorisé aux données personnelles collectées, l’Institution a pris des dispositions en matière de sécurité et d’organisation.
Le présent document vise à informer toute personne concernée par la protection des données personnelles traitées par l’Institution des dispositions générales en la matière.
2. Champ d’application
Les présentes dispositions générales s’appliquent durant toute la durée de vie des données à caractère personnel au sein de l’Institution, depuis leur obtention jusqu’à leur suppression définitive au sein de l’Institution.
La présente politique s’applique à toute l’Institution :
- Tous les collaborateurs internes et externes susceptibles de prendre connaissance de données à caractère personnel dans le cadre de l’exécution de leur travail (travailleurs, apprentis, stagiaire, bénévoles, membres de l’assemblée générale, administrateurs/trices, prestataire de services) ;
- Tous les locaux de l’Institution ;
- Tous les moyens de l’Institution et les systèmes de traitement des informations gérés par l’Institution, de même que, le cas échéant, les systèmes gérés par des parties externes en vue du traitement des informations pour l’Institution, tels que les bases de données, les informations sur tout support, les réseaux, les centres de données, etc. ;
- Toutes les activités de traitement des données à caractère personnel (voir définitions ci-dessous).
Ces dispositions concernent la protection de ces données confidentielles et participent à garantir le respect des droits des personnes concernées en matière de traitement de leurs données privées.
3. La gestion des risques
L’Institution a veillé à élaborer une gestion des risques, pour chaque catégorie de données à caractère personnel traitée, sur base des éléments suivants :
- L’identification des impacts potentiels sur les droits et libertés des personnes concernées si l’un des événements suivants survient :
o L’accès illégitime aux données personnelles ;
o La modification non désirée de données personnelles ;
o La disparition de données personnelles ;
- L’identification des sources de risques (qui ou quoi pourrait être à l’origine de chaque événement redouté) ;
- L’identification des menaces réalisables (qu’est-ce qui pourrait permettre que chaque événement redouté survienne) ;
- La détermination des mesures existantes ou prévues qui permettent de traiter ces risques ;
- La gravité et la vraisemblance de ces risques.
4. Le « traitement » de « données personnelles »
Sont concernées par la présente politique toutes les « données à caractère personnel » qui sont mises à la disposition de l’Institution, telles que définies par le Règlement UE 2016/6791 du Parlement européen et du Conseil du 27 avril 2016, ci-après « RGPD », à savoir : « toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
Par « traitement », il faut entendre : « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ».
Les catégories de données personnelles traitées par l’Institution sont reprises au document de Politique de confidentialité de l’Institution.
Chaque traitement de données personnelles est décliné au Registre de traitement.
1 https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR
5. L’accès aux informations confidentielles
Les collaborateurs (internes et externes) de l’Institution sont susceptibles de prendre connaissances de données à caractère personnel dans l’exercice de leur fonction/mission. Ces informations doivent être considérées, à tout moment, comme confidentielles. Seules les personnes habilitées y ont accès et elles ne pourront être partagées, après vérification, qu’avec des personnes habilitées à prendre connaissance des informations en question.
En ce qui concerne les membres du personnel, un mot de passe et login personnels adaptés aux outils informatiques mis à disposition par l’Institution leur est fourni à l’entrée. Ces mots de passe et login ne peuvent être modifiés que moyennant accord préalable et dans le respect des consignes qui lui seront données.
Le représentant de l’Institution devra, en tout temps, disposer des mots de passe et login actifs.
L’Institution peut, conformément aux règles prévues par la CCT n° 81 conclue au sein du Conseil National du Travail le 26 avril 2002 et relative à la protection de la vie privée des travailleurs à l’égard du contrôle des données de communication électronique en réseau, contrôler l’usage des TIC (Technologies de l’Information et la Communication) au sein de l’Institution.
Lors de son départ de l’Institution, tout collaborateur doit restituer les matériels et clés d’accès (physiques comme techniques) mis à sa disposition par l’Institution. Le cas échéant, il doit préalablement effacer ses propres fichiers et données personnelles. Toute copie de documents professionnels, à fortiori contenant des données à caractère personnel, est strictement interdite.
Les mots de passe et login de l’utilisateur sont supprimés dans les deux jours ouvrables.
6. Les mesures de sécurité
L’Institution développe des mesures de sécurité physiques (de type coffre-fort, serrures d’accès aux locaux, alarme intrusion…), techniques (de type mots de passe, antivirus, back-up, clé WIFI sécurisée…) et organisationnelles (de type procédures, règlements, habilitation…) appropriées afin de garantir un niveau de sécurité adapté aux risques que présente le traitement des données privées. Ces risques résultent notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.
Pour certains aspects spécifiques au sein de l’Institution, des dispositions complémentaires sont élaborées, qui décrivent plus en détails quelles mesures sont prises pour atteindre le niveau de sécurité approprié.
Ainsi notamment, en matière de :
Dossiers sociaux
A côté des mesures de protection générales développées par ailleurs, les données d'ordre psychosocial sont soumises au secret professionnel. Elles ne sont conservées qu'en version papier, sous clé et sous le contrôle de la personne habilitée à y accéder.
Lorsqu’il est question de traiter des données relatives à la santé d’un bénéficiaire, son consentement écrit est requis sauf si celles-ci sont traitées sous la responsabilité d’un professionnel de la santé soumis au secret professionnel.
Messagerie mail
L’Institution met à disposition des utilisateurs, pour l’exercice de leur activité professionnelle, des boîtes de messageries.
L’utilisation de la messagerie à des fins personnelle est tolérée, moyennement accord préalable, si elle n’affecte pas le travail du collaborateur concerné ni la sécurité du réseau informatique.
Tout message qui comporte la mention expresse ou manifeste de son caractère personnel bénéficiera du droit au respect de la vie privée et du secret des correspondances. A défaut, le message est présumé professionnel.
L’Institution s’interdit d’accéder aux dossiers et aux messages identifiés comme « personnel » dans l’objet de la messagerie du travailleur.
L’utilisation de la messagerie électronique doit se conformer aux règles d’usage définies par le responsable informatique interne et validées par le/la responsable de l’Institution :
- Volumétrie de la messagerie ;
- Taille maximale de l’envoi et de la réception d’un message ;
- Nombre limité de destinataires simultanés lors de l’envoi d’un message ;
- Gestion de l’archivage et des sauvegardes de la messagerie ;
- Etc.
Le transfert de messages à caractère professionnel, ainsi que leurs pièces jointes, sur des messageries personnelles est soumis aux mêmes règles que les copies de données sur support externes (voir Consignes générales de sécurité ci-dessous).
Dans le cas où le travailleur peut consulter sa messagerie à distance, à l’aide d’un navigateur (webmail), les fichiers qui seraient copiés sur l’ordinateur utilisé par le travailleur dans ce cadre doivent être effacés dès que possible de l’ordinateur utilisé.
En cas d’absence de courte durée du travailleur et de nécessité de ne pas interrompre le fonctionnement du service, le collaborateur interne autorisé à opérer le suivi de la boîte mail du travailleur peut ponctuellement transférer au responsable de l’Institution un courriel à caractère exclusivement professionnel et identifié comme tel par son objet et/ou son expéditeur.
En cas d’absence de plus d’un mois et/ou d’extrême urgence, le/la responsable de l’Institution peut demander au responsable informatique interne, le transfert des messages reçus. Le cas échéant, la personne autorisée accèdera uniquement aux documents et/ou à la boîte de réception dans la mesure nécessaire à la continuité du service, sur le fondement de l’intérêt légitime de l’Institution.
Par ailleurs, l’Institution dispose d’un outil permettant de lutter contre la propagation de messages non désirés (spam). Aussi, afin de ne pas accentuer davantage l’encombrement du réseau lié à ce phénomène, le travailleur est invité à limiter son consentement exprès préalable à recevoir un message de type commercial, newsletter, abonnements ou autres, et de ne s’abonner qu’à un nombre limité de listes de diffusion, notamment si elles ne relèvent pas du cadre strictement professionnel.
Téléphonie
L’Institution met à disposition des utilisateurs, pour l’exercice de leur activité professionnelle, des téléphones fixes et/ou mobiles.
L’utilisation du téléphone à titre privé est interdite sauf si le travailleur se voit comptabiliser un avantage de toute nature dans ce cadre.
En cas d’utilisation à titre strictement professionnel, et conformément aux instructions établies par l’ONSS, l’employeur se réserve le droit de vérifier, par le biais des factures de l’opérateur de téléphonie, que le caractère strictement professionnel des appels est respecté.
Administration du système d’information
A titre préventif, l’Institution peut mettre en place des systèmes automatiques de filtrage permettant de diminuer les flux d’informations et d’assurer la sécurité et la confidentialité des données. Il peut s’agir du filtrage des sites internet, de l’élimination des courriels non sollicités, du blocage de certains protocoles (messagerie instantanée…).
Le responsable informatique interne ou le sous-traitant gérant l’informatique au sein de l’Institution peut opérer sans avertissement les investigations nécessaires à la résolution de dysfonctionnements du système d’information ou de l’une de ses composantes, qui mettent en péril le fonctionnement ou l’intégrité du réseau informatique.
Pour ce faire, le service compétent s’appuie sur des fichiers de journalisation (fichiers « logs ») qui recensent toutes les connexions et tentatives de connexions au système d’information. Ces fichiers comportent les données suivantes : dates, postes de travail et objet de l’événement.
Le service informatique est le seul utilisateur de ces informations qui sont effacées à l’expiration d’un délai de 3 mois.
A des fins de maintenance informatique, le responsable informatique interne ou le sous-traitant peut accéder à distance à l’ensemble des postes de travail. Si le travailleur est présent, il en sera prévenu à l’avance.
Dans le cadre de mises à jour et évolutions du système d’information, et lorsqu’aucun utilisateur n’est connecté sur son poste de travail, le service informatique interne ou externe peut être amené à intervenir sur l’environnement technique des postes de travail. Il s’interdit d’accéder aux contenus.
Le service informatique interne ou externe opère également régulièrement une sauvegarde du système (back-up) afin de prévenir toute perte de données.
7. Les consignes générales de sécurité
Tout collaborateur de l’Institution (interne ou externe) qui traite des données à caractère personnel mises à disposition de l’Institution (soit qu’il les consulte, les collecte, les enregistre, les modifie…) dans le cadre de l’exécution de son travail/sa mission, le fait conformément à la Politique de confidentialité de l’Institution ainsi qu’aux principes et directives suivants :
- Il respecte et, le cas échéant, s’engage à faire respecter par son/ses travailleurs salariés, la Politique de confidentialité de l’Institution et les présentes dispositions générales ;
- Il ne traite les données à caractère personnel que dans les mesures nécessaires aux finalités pour lesquelles elles ont été obtenues ;
- Il n’utilise jamais les informations confidentielles au détriment de l’Institution ou à toute autre fin que celle de leur mission ;
- Il respecte les droits des personnes concernant leurs données à caractère personnel ;
- Il ne partage pas les informations confidentielles, volontairement ou involontairement, avec des personnes non autorisées, en ce compris des tiers ;
- Il ne vend en aucun cas à des tiers des données personnelles à sa disposition, pour quelque raison que ce soit ;
- Il ne transférer jamais ces données vers un pays tiers de l’Union européenne ni vers une organisation internationale. Si cela devait s’avérer nécessaire, le responsable du traitement mettra en oeuvre les mesures adéquates et nécessaires conformément aux prescriptions en la matière énoncées au Chapitre V du RGPD ;
- Il ne procède jamais à un traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi qu’à un traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. Si cela devait s’avérer nécessaire, le responsable du traitement mettra en oeuvre les mesures adéquates et nécessaires en regard des conditions reprises à l’article 9, §2 du RGPD ;
- Il ne procède jamais au traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes. Si cela devait s’avérer nécessaire, l’Institution mettra en oeuvre les mesures adéquates et nécessaires afin que le traitement envisagé se réalise sous le contrôle de l'autorité publique, ou soit autorisé par le droit de l'Union ou par le droit d'un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées.
- Il est responsable des données qu’il traite, et personnellement responsable de la bonne sauvegarde de ses fichiers et de ses mots de passe et login personnels.
Ceci implique que :
o Il ne confie jamais ses mot de passe et login ;
o Il ne demande jamais ses mot de passe et login à autrui ;
o Il ne masque pas sa véritable identité ;
o Il n’usurpe jamais l’identité d’autrui ;
o Il ne modifie pas les outils informatiques et leur fonctionnement, leur paramétrage ainsi que leur configuration physique ou logicielle sans accord préalable ;
o Il ne nuit pas, volontairement ou non, au fonctionnement des outils informatiques et de communications ;
o Il n’accède pas aux informations auxquelles il doit raisonnablement savoir ne pas avoir le droit d’accéder, ni ne tente d’accéder, supprimer ou modifier des informations qui ne lui appartiennent pas ;
o Il traite les données avec soin ;
o Il n’utilise en aucun cas à des fins privées l’ordinateur mis à sa disposition et il lui est interdit d’envoyer des courriels privés à partir de l’adresse électronique mise à disposition par l’Institution sans accord préalable ;
o Il ne conserve pas des documents ou des données sur l’ordinateur mis à sa disposition, mais les enregistre uniquement dans le système de l’employeur qui est régulièrement mis à jour afin de remédier aux risques pour la sécurité. Une sauvegarde du système (back-up) est régulièrement effectuée afin de prévenir toute perte de données ;
o Il ne copie pas d’informations confidentielles sur un support externe (clé USB, smartphone, disque dur externe…) sans accord préalable ;
o Il ne prête pas les outils informatiques (ordinateur, clé USB…) à une tierce personne tout autant qu’à un parent ;
o Il ne laisse pas sans surveillance son ordinateur sans le verrouiller par un mot de passe fort (minimum 7 caractères dont au moins une majuscule, deux chiffres et un caractère spécial) ;
o Il signale sans délai tout problème de sécurité qu’il constate, violation ou tentative de violation suspectée de son compte réseau et, de manière générale, tout dysfonctionnement.
- Il retire immédiatement de l’imprimante les impressions qui contiennent des informations confidentielles ;
- Il limite au maximum le transport d’informations confidentielles (p. ex. sortie d’une clé USB, d’un smartphone, d’une tablette, d’un ordinateur portable… des locaux de l’Institution) et exclusivement à ce qui est strictement nécessaire pour l’exécution de son travail. De plus :
o Il doit être conscient en permanence du risque de perte de données dans ce type de situation ;
o Il doit faire tout ce qui est en son pouvoir pour prévenir le vol ou la perte de données (p. ex. oubli d’une clé USB dans un transport en commun, vol du PC resté dans son véhicule, etc.) ;
o Il ne doit jamais laisser son ordinateur portable, clé USB… sans surveillance en dehors du lieu de travail ;
o Il informe sans délai tout vol ou perte du PC, clé USB… ;
o Il informe sans délai tout piratage qu’il constate de son PC, clé USB… ;
o Il s’assure, s’il utilise un autre réseau de connexion que celui de l’Institution, qu’il s’agit d’un réseau sécurisé. Si le réseau WIFI ouvert n’est pas sécurisé, il lui est interdit de l’utiliser.
- Il applique les directives suivantes lorsqu’il quitte son bureau ou son lieu de travail pour une demi-journée ou plus longtemps :
o Il retire du bureau ou du lieu de travail toutes les informations confidentielles et les stocke ou les archives dans une armoire ou un casier. Il en va de même des informations confidentielles sauvegardées sur une clé USB, un DVD... ;
o Il jette dans des corbeilles spécialement prévues à cet effet ou passe par la déchiqueteuse tous les documents qui contiennent des informations confidentielles et sont destinés à la poubelle ;
o Il verrouille son ordinateur lorsque son bureau ou le lieu de travail n’est pas occupé, et l’éteint à la fin de la journée de travail ;
o Il range dans un casier ou une armoire fermée à clé son ordinateur portable, disque dur, tablette et autres dispositifs hardware à la fin de la journée de travail ;
o Il autorise l’Institution, en cas d’absence de plus d’un mois et/ou d’extrême urgence, à accéder à l’ordinateur mis à sa disposition si cela s’avère nécessaire pour assurer la continuité du service. Le cas échéant, l’Institution accède uniquement aux documents et/ou à la boîte de réception dans la mesure nécessaire à la continuité du service, sur le fondement de son intérêt légitime.
- Il s’assure que les clés des casiers et armoires ne sont jamais laissées sans surveillance ;
- Il n’utilise en aucun cas à des fins privées les outils TIC (ordinateur, clé USB, smartphone, messagerie électronique, etc.) destinés à usage strictement professionnel ;
- Il applique, dans le cadre de sa mission de traitement, les directives complémentaires en matière de sécurité qui lui sont transmises par l’employeur ;
- Il signale les infractions ;
- Il coopère et participe positivement à la Politique de confidentialité mise en oeuvre par l’Institution dans le cadre de la protection des données à caractère personnel ;
- Il respecte les principes et règles de déontologie professionnelle ainsi que le secret professionnel qui, le échéant, s’impose à lui.
A ces responsabilités qui incombent à tout collaborateur qui traite des données à caractère personnel s’ajoutent, pour le collaborateur TIC (Technologies de l’Information et de la Communication – soit le responsable informatique interne ou externe), les responsabilités suivantes :
- Il met en oeuvre des mesures techniques appropriées afin de protéger les données confidentielles ;
- Il applique des paramètres de sécurité conformément à Politique de confidentialité de l’Institution ;
- Il signale des problèmes de sécurité qui surviennent avant, durant ou après la mise en place de moyens TIC ;
- Il endosse un rôle d’expert, dans le cadre duquel il participe à l’identification et à la détermination de mesures de prévention des risques en matière de traitement des données à caractère personnel.
A ces responsabilités en tant que collaborateur TIC s’ajoutent, pour le fournisseur TIC, au vu de son rôle important dans la mise en place de l’environnement TIC destiné à traiter des données, les éléments suivants :
- Il respecte le Règlement européen 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) ;
- Il signale les risques en matière de sécurité des applications fournies ;
- Il exécute les tâches de sécurité qui lui incombent ;
- Il vise une politique de protection des données transparente en communiquant au sujet du niveau de sécurité actuel et du traitement des incidents de sécurité.
8. Les objectifs de notre Politique de confidentialité
L’Institution, dans son rôle de responsable du traitement de données à caractère personnel, poursuit les objectifs suivants :
- Elle est transparente au sujet des données à caractère personnel qu’elle traite et de la finalité du traitement, tant envers la personne concernée que les autorités de surveillance. La communication menée est honnête, facilement accessible et compréhensible. Le principe de transparence s’applique également lorsque les données à caractère personnel sont échangées.
- Elle traite uniquement les données pertinentes pour l’exécution de ses tâches. Chaque tâche dans le cadre de laquelle des données à caractère personnel sont traitées est licite. Cela signifie notamment que le traitement est réalisé conformément aux finalités légales et statutaires de l’Institution. Ce point est chaque fois évalué pour toute nouvelle finalité de traitement, le cas échéant, au moyen d’une analyse d’impact relative à la protection des données.
- Elle traite uniquement les données à caractère personnel strictement nécessaires pour l’exécution de ses activités. Ainsi, les facteurs d’identification faisant partie des données à caractère personnel sont ramenés à un minimum.
- Elle vérifie l’intégrité des données à caractère personnel tout au long du cycle de vie du traitement.
- Elle ne conserve pas les données plus longtemps que nécessaire. La nécessité est vérifiée par rapport aux obligations légales, ainsi qu’aux droits et libertés de la personne concernée.
- Elle évite les violations découlant du traitement des données à caractère personnel. La sécurité des informations, la protection des données dès la conception et les paramètres standard respectueux de la vie privée constituent des outils dans ce cadre. Lorsqu’une violation se produit, celle-ci est rapportée conformément à la réglementation en la matière.
- Elle est capable d’exécuter tous les droits d’une personne concernée, tels que le droit de consultation, de copie et éventuellement de suppression. Dans ce cadre, l’Institution veille aux éventuelles restrictions applicables à ces droits.
- Elle surveille activement que les droits et libertés de la personne concernée soient préservés dans le cadre du traitement des données à caractère personnel pour une finalité bien définie.
- Elle traite les données conformément aux droits et libertés applicables au sein de l’Union européenne et contrôle leur application si des données devaient être échangées en dehors l’Europe. Par conséquent, l’Institution respecte tous les cadres légaux et normatifs (c’est-à-dire aussi bien les réglementations wallonnes que fédérales et européennes) dans le cadre du traitement des données à caractère personnel et a, pour
ce faire, clairement répertorié ses responsabilités et celles des autres à l’égard des données à caractère personnel.
- Elle peut prouver son respect de tous les objectifs de la présente politique, conformément aux dispositions légales. Ce devoir de responsabilité est suivi en interne, et est exécutable conformément aux principes légaux.
9. Les coordonnées de contact
Toute question, remarque, suggestion, ainsi que toute réclamation concernant le traitement de ses propres données personnelles par l’Institution peut être déposée par l’administrateur auprès de l’Institution selon les modalités prévues et aux coordonnées de contact figurant à la Politique de confidentialité.
10. Modification
Les présentes dispositions générales en matière de protection des données à caractère personnelles peuvent être adaptée et complétées lorsque des circonstances l’exigent.
Les modifications sont portées à la connaissance des collaborateurs concernés par toute voie de communication interne et externe.
Fait à Bierset, le 24/09/2018.
Sophie MENDOLIA, Coordinatrice administrative et financière – Déléguée à la gestion journalière