Politique de protection des données de GRC-Luxembourg
Version 0.2 – Mise à jour le 03/08/2022.
2 Qui est concerné par le RGPD ?
3 Contexte et objectifs de cette politique
5 Principes de traitement des données à caractère personnel
5.1 Le principe général : la libre circulation des données à caractère personnel
5.7 Limitation de la conservation
5.8 Intégrité et confidentialité
5.9 Responsabilité
6 Délégué à la Protection des Données (DPD)
7 Concernant les traitements des données personnelles des clients
7.1 Traitements établissement des devis, time sheets et factures
7.2 Rédaction et délivrance des livrables
7.3 Traitements comptabilité clients et fournisseurs
7.4 Traitement des messages quel que soit le moyen utilisé
Le RGPD (Règlement général sur la protection des données) du 27 avril 2016 est un règlement européen (directement applicable dans tous les Etats membres) relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, applicable depuis le 25 mai 2018.
Son objectif est d’assurer la protection des données à caractère personnel des citoyens européens : salariés, candidats à un emploi, assurés, patients, clients, prestataires, fournisseurs, partenaires commerciaux, etc, appelées personnes concernées.
2 Qui est concerné par le RGPD ?
Tout organisme quel que soit sa taille, son pays d’implantation et son activité, peut être concerné.
En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
- qu’elle est établie sur le territoire de l’Union européenne,
- ou que son activité cible directement des résidents européens.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.
Ainsi, lorsqu’une organisation traite ou collecte des données pour le compte ou à destination d’une autre entité (entreprise, collectivité, association, administration), des obligations spécifiques pour garantir la protection des données confiées s’impose.
3 Contexte et objectifs de cette politique
Dans le cadre de ses activités, GRC-Luxembourg (GRC) traite des données à caractère personnel.
La présente politique poursuit un double objectif :
- D’une part, expliquer les grands principes à respecter lors de tout traitement de données ;
- D’autre part, fournir aux clients les informations relatives au traitement de leurs données dans le cadre de leurs relations avec GRC.
La présente politique de confidentialité régit la façon dont GRC en tant que responsable de traitement traite les données personnelles collectées (i) dans le cadre du site internet GRC-Luxembourg.lu (le « Site GRC ») ou lors d’échanges entre GRC et toute personne qui n’est pas un client de GRC et (ii) dans le cadre de la réalisation, par GRC, de son activité.
GRC s’engage à fournir une information, une formation et une assistance adéquates à ses employés pour leur permettre de remplir leurs obligations en matière de protection des données à caractère personnel vis-à-vis des données personnelles qu’ils traitent dans le cadre de leurs activités.
La présente politique complète, mais ne remplace pas, les obligations relatives à la protection des données personnelles déjà reprises dans les contrats de mission et autres éventuels documents.
4 Définitions
Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable.
Une personne peut être identifiée :
- directement (exemple : nom, prénom)
- ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).
L’identification d’une personne physique peut être réalisée :
- à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)
- à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)
Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
Responsable de traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Consentement : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.
Violation de données à caractère personnel : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
5 Principes de traitement des données à caractère personnel
5.1 Le principe général : la libre circulation des données à caractère personnel
Le traitement de données à caractère personnel n’est en principe pas interdit dans le droit de l’Union Européenne. Néanmoins, les données sensibles (entre autres les données de santé, les données relatives à l’appartenance syndicale, les données relatives à l’origine raciale ou ethnique, l’orientation sexuelle) ne peuvent pas faire l’objet d’un traitement. Ce principe souffre néanmoins quelques exceptions :
- Lorsque Le consentement donné par la personne concernée ;
- En application d’obligations en matière de droit du travail, du droit de la sécurité sociale, de la protection sociale ;
- Lorsque la sauvegarde d’intérêts vitaux est en jeu ;
- Lorsque le traitement s’opère dans le cadre d’activités de fondations, associations à but non lucratif, ou tout autre organisme à but non lucratif, …
- Lorsque les données ont été rendues publiques par la personne concernée ;
- Lorsque le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ;
- Le traitement est nécessaire pour des motifs d’intérêt public important ;
- Le traitement est nécessaire aux fins de médecine préventive ou de médecine du travail ;
- Le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ;
- Le traitement est nécessaire à des fins archivistiques dans l’intérêt public.
5.2 Licéité du traitement
Les données à caractère personnel sont traitées par GRC de manière licite, loyale au regard de la personne concernée.
La collecte de données personnelles est ainsi toujours basée sur un (ou plusieurs) des six motifs légitimes suivants, consacrés par le RGPD :
Exécution d’un contrat : le recours à cette base légale suppose que le traitement soit objectivement nécessaire à l’exécution d’un contrat entre l’organisme traitant les données et la personne concernée.
Respect d’une obligation légale : le recours à cette base légale se justifie lorsque la mise en œuvre d’un traitement est imposée à un organisme par des textes européens ou nationaux.
Sauvegarde des intérêts vitaux de la personne physique : par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d’urgence humanitaire, notamment les situations de catastrophe naturelle et d’origine humaine.
Exécution d’une mission d’intérêt public : cette base légale concerne donc en premier lieu les traitements mis en œuvre par les autorités publiques. La mission d’intérêt public ou relevant de l’exercice de l’autorité publique ne peut pas être présumée par l’organisme qui met en œuvre le traitement de données : pour valablement fonder ce traitement, cette mission doit avoir une base juridique dans le droit auquel l’organisme est soumis.
Intérêt légitime : le recours à cette base légale suppose que les intérêts (commerciaux, de sécurité des biens, etc.) poursuivis par l’organisme traitant les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.
Consentement : le consentement représente l’accord de la personne concernée à ce que ses données soient collectées et utilisées. Le consentement n’est pas nécessairement un contrat.
5.3 Loyauté et transparence
Le principe de loyauté implique que GRC se doit de traiter les données personnelles honnêtement. Les données ne peuvent être traitées ultérieurement d’une manière incompatible avec la finalité initiale.
De ce principe découle le principe de transparence ; la collecte des données doit être assortie d’informations claires et précises quant au traitement envisagé.
C’est dans ce cadre que le GRC opère cette information au profit de ses co-contractants, prospects et toute autre personne entrant en contact avec GRC quel que soit l’objectif.
5.4 Limitation des finalités
Les données à caractère personnel sont collectées par GRC pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement d’une manière incompatible avec ces finalités.
5.5 Minimisation des données
GRC ne collecte pas plus de données à caractère personnel que nécessaire pour atteindre les finalités déterminées, c’est-à-dire que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
5.6 Exactitude des données
GRC prend toutes les mesures raisonnables afin que les données à caractère personnel qui sont inexactes soient effacées ou rectifiées sans tarder.
5.7 Limitation de la conservation
Les données à caractère personnel sont conservées par GRC pendant une durée n’excédant pas celle nécessaire au traitement concerné.
Par exemple dès que le contrat est résilié, la prescription acquise, le consentement retiré, …
Au-delà les données seront être détruites ou anonymisées.
5.8 Intégrité et confidentialité
Les données à caractère personnel sont traitées par GRC de façon à garantir une protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle et ce, à l’aide de mesures techniques ou organisationnelles appropriées. Les co-contractants sont tenus de respecter l’intégrité et la confidentialité des données.
5.9 Responsabilité
GRC veille à documenter ses traitements et les précautions qu’il met en œuvre au regard de la protection des données à caractère personnel, afin d’être en mesure de démontrer qu’il a respecté les principes exposés ci-dessus et que ces sous-traitants ou destinataires éventuels se conforment également à ces règles.
6 Délégué à la Protection des Données (DPD)
GRC n’a aucune obligation légale de nommer un DPD, néanmoins, le responsable de traitement dont les coordonnées sont les suivantes, assure les fonctions d’un DPD :
A l’attention du chargé de la protection des données
Courriel : virginie.parre@grc-luxembourg.lu
Cette personne est compétente pour :
- Informer et conseiller les salariés de GRC quant aux obligations qui s’imposent à eux en vertu de la législation et de la réglementation en matière de protection des données ;
- Contrôler le respect de la législation et de la réglementation et des règles internes en matière de protection des données, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation des employés ;
- Coopérer avec l’autorité de contrôle (CNPD),
Par ailleurs, le DPD est :
- associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ;
- indépendant : il ne reçoit aucune instruction en ce qui concerne l’exercice des missions ;
- amené à recevoir des questions des personnes concernées relatives au traitement de leurs données à caractère personnel et à l’exercice de leurs droits ;
- soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions.
7 Concernant les traitements des données personnelles des clients
7.1 Traitements établissement des devis, time sheets et factures
Nom du traitement | Etablissement des devis, time sheets et factures |
Finalité | Rendre le service attendu au client |
Fondement du traitement | Contrat/consentement lorsque prospect |
Catégorie de données | Données d’identification personnelles, données d’identification bancaires, données financières |
Personnes concernées | Les clients et les prospects |
Durée de rétention | 11 ans (prescription légale) |
Destinataires | ACD, AED |
7.2 Rédaction et délivrance des livrables
Nom du traitement | Rédaction et délivrance des livrables |
Finalité | Rendre le service attendu au client |
Fondement du traitement | Contrat |
Catégorie de données | Données d’identification personnelles, données d’identification bancaires, données financières |
Personnes concernées | Les clients |
Durée de rétention | 11 ans (prescription légale) |
Destinataires | Néant |
7.3 Traitements comptabilité clients et fournisseurs
Nom du traitement | Comptabilité clients et fournisseurs |
Finalité | Tenir à jour la comptabilité |
Fondement du traitement | Obligation légale |
Catégorie de données | Données d’identification personnelles, données d’identification bancaires, données financières |
Personnes concernées | Les clients et les fournisseurs |
Durée de rétention | 11 ans (prescription légale) |
Destinataires | Néant |
7.4 Traitement des messages quel que soit le moyen utilisé
Nom du traitement | Messages à GRC |
Finalité | Traiter le courrier quel que soit le mode de communication y compris réseaux sociaux |
Fondement du traitement | Contrat/consentement |
Catégorie de données | Données d’identification personnelles, données d’identification bancaires, données financières |
Personnes concernées | Les clients, les prospects, les fournisseurs |
Durée de rétention | 11 ans (prescription légale) |
Destinataires | Néant |
7.5 Gestion du site web et des cookies
Nom du traitement | Gestion du site web et des cookies |
Finalité | Gérer les données personnelles récoltées dans le cadre de la page contact du site, gérer la politique de consentement des cookies |
Fondement du traitement | Consentement |
Catégorie de données | Données d’identification personnelles, données d’identification électronique (adresse IP), données d’identification bancaires, données financières |
Personnes concernées | Les visiteurs du site |
Durée de rétention | Voir gestion des cookies |
Destinataires | Néant |
8 Sécurité et confidentialité
GRC a adopté un certain nombre de mesures techniques et organisationnelles nécessaires/adéquates pour protéger les données à caractère personnel contre l’accès non autorisé, le traitement illicite, la perte ou les dommages accidentels, et la destruction non autorisée :
Les personnes agissant pour le compte de GRC sont soit des professionnels de la sécurité et/soit des professionnels de la protection des données ; ils sont à ce titre en mesures d’appliquer des mesures organisationnelles et de mettre en œuvre les mesures techniques nécessaires
9 Droits des clients
Pour exercer leurs droits, les clients doivent contacter le DPD.
Les droits en question sont les suivants :
- Information
GRC informe ses clients par le biais de la présente Politique ou de déclarations/clauses de confidentialité. - Accès et rectification
Les clients disposent du droit d’accéder à leurs données et de les faire rectifier dans la limite des conditions légales. - Opposition
Les clients peuvent s’opposer au traitement de leurs données dans la limite des conditions légales. - Retrait du consentement
Lorsque les données sont traitées en vertu d’un consentement, les clients peuvent à tout moment revenir sur cette décision, sans remettre en cause le traitement passé. - Effacement
Les clients peuvent obtenir l’effacement de leurs données ou la limitation du traitement dans les conditions légales. - Portabilité
Les clients peuvent obtenir la communication des données qu’ils ont fournis sous format électronique ou leur transmission à un tiers dans les conditions prévues à l’article 20 du règlement général sur la protection des données. - Limitation :
Si les clients contestent l’exactitude des données utilisées par GRC ou s’opposent au traitement de leurs données, la loi autorise GRC à procéder à une vérification ou à examen de la demande pendant un certain délai. Pendant ce délai, les clients peuvent demander à GRC de geler l’utilisation des données. Concrètement, GRC ne devra plus utiliser les données mais devra les conserver. - Plainte auprès de l’Autorité de Protection des Données
Les agents qui ont des réclamations quant au traitement de leurs données à caractère personnel peuvent déposer plainte auprès de la Commission nationale pour la protection des données (CNPD) via le site www.cnpd.lu. GRC s’engage à fournir aux clients, des informations sur les mesures prises à la suite de l’exercice de l’un de ces droits dans les meilleurs délais, et en tout état de cause, conformément à la réglementation applicable en la matière, dans un délai d’un mois à compter de la réception de la demande.
10 Rôle et responsabilités
Chaque personne au sein de GRC qui traite des données à caractère personnel doit s’assurer qu’elles sont traitées en accord avec les règles et principes sur les données personnelles énoncées dans le cadre de la présente politique. GRC sera tenue responsable de quelque manquement au RGPD que ce soit.