RÈGLEMENT GÉNÉRAL
sur la protection des données
Politique en matière de protection de données de la SA Dedale (RGPD)
A. Introduction
1 OBJECTIFS
La SA Dedale considère les données personnelles comme un actif essentiel à protéger. Le traitement de ces données constitue un élément essentiel de la stratégie de Dedale vis-à-vis des clients et des prospects, des collaborateurs ainsi que de toutes les autres parties prenantes (sujets de données).
Le but de cette politique de protection des données de Dedale est de définir les exigences clés à respecter lors du traitement des données personnelles en tenant compte des dispositions du RGPD
2 DATE D’ENTRÉE EN VIGUEUR
Entrée en vigueur le 25 mai 2018.
La politique sera revue au moins tous les trois ans et chaque fois qu’il sera nécessaire d’inclure de nouvelles stratégies et organisations de Dedale.
B. Principes clés régissant le traitement des données personnelles
Lors du traitement des données personnelles, les principes suivants seront toujours d’application. Les données personnelles doivent être :
a) traitées de manière légale, équitable et transparente vis-à-vis de la personne concernée légalité, équité et principe de transparence.
Le traitement des données personnelles est légal lorsque les données personnelles sont traitées sur la base d’un motif légitime
Le traitement est équitable et transparent lorsque les sujets de données disposent d’un avis de confidentialité au moment de la collecte des données personnelles.
b) collectées à des fins spécifiées, explicites et légitimes et non traitées ultérieurement d’une manière incompatible avec ces fins principe de « limitation de la finalité.
c) adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités pour lesquelles elles sont traitées données principe de minimisation.
Seules les données personnelles strictement nécessaires pour poursuivre les objectifs communiqués doivent être collectées et traitées.
d) exactes et, si nécessaire, tenues à jour principe de « précision.
Les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, doivent être effacées ou rectifiées sans retard.
e) conservées sous une forme permettant l’identification des sujets de données pendant une durée nécessaire aux fins pour lesquelles les données personnelles sont traitées principe de limitation du stockage.
Après avoir atteint les objectifs du traitement, les données personnelles ne peuvent être conservées que sous une forme qui ne puisse permettre l’identification des sujets de données. Les mesures visant à désidentifier les données personnelles comprennent la suppression, l’obscurcissement, l’anonymisation, dans la mesure où ces mesures ne sont pas en conflit avec d’autres lois et règlements.
f) traitées de manière à assurer une sécurité appropriée des données personnelles, en utilisant les moyens techniques ou mesures organisationnelles principe d’intégrité et de confidentialité. Cfr Brio
C. Traitement des données personnelles au niveau légal :
Le traitement des données personnelles est légal lorsqu’il est :
a) fondé sur la base du consentement donné par le sujet de données pour un ou plusieurs buts spécifiques ; ou
b) nécessaire à l’exécution d’un contrat auquel Dedale est partie prenante ; ou
c) nécessaire au respect d’une obligation légale à laquelle est soumise Dedale ; ou
d) nécessaire pour protéger les intérêts vitaux de Dedale ; ou
e) nécessaire à l’accomplissement d’une tâche effectuée dans l’intérêt public ou dans l’exercice d’une autorité publique ; ou
f) nécessaire aux fins d’un Intérêt légitime poursuivi par Dedale.
D. Informations appropriées aux sujets de données concernant le traitement des données personnelles :
Les sujets de données doivent recevoir un avis de confidentialité adéquat et clair concernant le traitement de leurs données personnelles (fiche client).
E. Faciliter l’exercice du droit des sujets de données :
En règle générale et sous certaines conditions définies par la réglementation applicable, une personne concernée doit être autorisée à exercer les droits suivants :
a) Droit d’accès : droit d’obtenir la confirmation du traitement ou non des données personnelles des personnes concernées et dans ce cas, l’accès aux données personnelles sans retard injustifié ;
b) Droit de rectification : droit d’obtenir, sans retard injustifié, la rectification des données personnelles inexactes ;
c) Droit d’effacement (droit d’être oublié): droit d’obtenir la suppression des données personnelles des personnes concernées. Elles sont archivées sans retard excessif ;
d) Droit de restriction : droit d’obtenir la limitation des activités de traitement sur les données personnelles des personnes concernées. Une fois restreintes, les données personnelles ne peuvent être archivées que si des exemptions spécifiques s’appliquent ;
e) Droit à la portabilité des données : droit des sujets de données de recevoir leurs données personnelles de manière structurée, communément utilisée, sous format lisible par voie électronique (My Broker) ;
f) Droit d’opposition : droit de s’opposer à tout moment en raison de sa situation particulière au traitement de ses données personnelles des sujets de données. Une fois que le droit d’opposition a été exercé, les données personnelles ne doivent plus être traitées sauf s’il existe des motifs légitimes qui l’emportent sur les intérêts, les droits et la liberté des personnes. Dans tous les cas, si les objets de données sont des traitements à des fins de marketing direct, les données personnelles ne doivent plus être traitées à ces fins.
g) Droit de ne pas être soumis à une décision basée uniquement sur le traitement automatisé : droit de la personne concernée de ne pas être soumis à une décision fondée uniquement sur le traitement automatisé, y compris le profilage, qui produit des effets juridiques l’affectant de manière significative.
Et:
– les processus doivent permettre l’exercice aisé des droits des personnes concernées de prendre rapidement toutes les mesures
- Les sujets de données doivent être informés des mesures prises ;
- Les sujets de données doivent être conscients des modalités d’exercice de ces droits ;
- Sauf circonstances exceptionnelles, toutes les actions et communications vers les sujets de données doivent être gratuites pour les sujets de données.
F. Mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité inhérent au risque :
Des mesures techniques et organisationnelles appropriées doivent être mises en œuvre pour assurer un niveau de sécurité des données personnelles. Une approche basée sur le risque doit être suivie lors de l’identification de ces mesures. L’approche basée sur le risque doit considérer, entre autres, la probabilité et la gravité des droits et libertés des sujets de données.
G. Notifier à l’autorité de surveillance et communiquer une infraction de données personnelles :
Des processus adéquats doivent être mis en place afin d’assurer la bonne gestion des violations de données personnelles, y compris la notification rapide au plus tard 72 heures après en avoir pris connaissance auprès de l’autorité de surveillance compétente et, le cas échéant, la communication avec les sujets de données concernés.
Chaque partie prenante de la SA Dedale sera tenue de référer au Délégué à la protection des données (DPD), de toute violation de données au plus tard dans les 24 heures. Le Délégué à la protection des données en avisera dès après les personnes concernées.
H. Nomination de processus de données :
Chaque fois qu’un fournisseur externe est sélectionné pour effectuer des activités incluant le traitement des données personnelles, la nomination de ce fournisseur externe comme Data Processor est requise. Un contrat établi en bonne et due forme est signé par les parties respectant les conditions requises à la protection des données.
I. Exigences clés pour le processeur de données
Lorsque, en ce qui concerne un traitement spécifique des données personnelles, Dedale agit en tant que responsable du traitement des données, elle doit :
- traiter les données personnelles conformément aux principes énoncés ainsi qu’aux les lois et règlements applicables en matière de protection des données personnelles ;
- veiller à ce que les personnes autorisées à traiter les données personnelles se soient engagées à respecter la confidentialité ou soient soumises à une obligation de confidentialité appropriée (cfr contrat de travail pour les employés de la SA Dedale et contrats passés avec les fournisseurs identifiés) ;
- traiter les données personnelles uniquement selon les instructions de Dedale, sauf disposition contraire des lois applicables ;
- tenir un registre de toutes les activités de traitement ; Pour la SA Dedale, cela concerne plus particulièrement comme fournisseurs : la société de développement de notre site, notre fournisseur de matériel informatique et de services, le fournisseur de notre outil de gestion, la société chargée de la destruction des archives.
- mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger le traitement des données personnelles ;
- signer un contrat ou un autre acte juridique régissant la relation entre Dedale et les fournisseurs.
J. Spécifique au site internet
Cliquez sur ce lien pour prendre connaissance de notre politique du respect de la vie privée sur notre site internet.
Lorsque vous communiquez vos informations sur notre site via le formulaire de contact, vos données sont chiffrées via un certificat SSL (https) afin d’en assurer la sécurité.
Les données transmises via notre formulaire de contact sont stockées dans notre base de données au maximum 1 an, ensuite elles sont détruites. Une copie des informations transmises vous est envoyée via l’adresse mail communiquée via le formulaire de contact. Dans l’email de confirmation que vous recevez, vous trouverez également un lien vous permettant d’effacer en 1 clic vos données.
Notre hébergement mais aussi notre site internet sont couverts par un contrat de maintenance afin de les maintenir à jour techniquement parlant et ainsi éviter les risques de sécurité. Seules les données transmises via le formulaire de contact sont conservées sur notre serveur. Hormis les mécanismes mis en place afin de consulter et effacer les données transmises, il vous est loisible de prendre contact via l’adresse mail info@dedale-assurances.be afin de vérifier que :
- Vos données ont bien été effacées ;
- Vérifier l’exactitude des données transmises ;
- Rectifier les données transmises ;
- Toute question que vous vous poseriez en matière de traitement de vos données personnelles.
K. A qui adresser vos questions ou demandes ?
Pour toute question ou demande relative au traitement de vos données personnelles, nous vous invitions à contacter notre délégué à la protection des données (DPD) par e-mail, info@dedale-assurances.be avec pour destinataire DPD ou par courrier à l’adresse de la SA Dedale.
L. Introduire une plainte ou un recours :
Il est possible d’introduire une plainte auprès de l’Autorité de protection de données dont les coordonnées sont les suivantes :
Autorité de protection des données Rue de la Presse 35 1000 Bruxelles @ : commission@privacycommission.be
Partage du service :
NOUS CONTACTER
« * » indique les champs nécessaires