Déclaration de CPE SA relative à la confidentialité et aux cookies
DÉCLARATION DE CONFIDENTIALITÉ
1. DONNÉES PERSONNELLES
CPE collecte et traite des informations personnelles de ses clients, fournisseurs, membres du personnel, collaborateurs indépendants…CPE considère la protection de la vie privée comme un important objectif stratégique et s’engage à respecter la confidentialité des données personnelles et à les protéger en prenant des mesures appropriées.
La garantie du respect du Règlement général sur la protection des données constitue la base de relations commerciales fiables et est essentielle pour la réputation de CPE en tant que partenaire commercial et employeur attractif. Depuis le 25 mai 2018, le Règlement général sur la protection des données personnelles (RGPD) est en vigueur et s’applique à CPE et à toute personne qui traite des données personnelles pour le compte de CPE.
La déclaration de confidentialité (la « Déclaration ») définit la stratégie de CPE pour assurer la protection et l’administration des données personnelles conformément au RGPD. Elle fournit des directives précises à toute personne chargée de traiter des données personnelles pour le compte de CPE.
La Déclaration a pour objectif de protéger les données personnelles en fournissant aux personnes impliquées dans leur traitement des instructions sur la collecte et le traitement de ces données personnelles.
La Déclaration est subordonnée aux prescriptions spécifiques en matière de protection des données ou aux règles de confidentialité qui peuvent s’appliquer à un domaine d’activité ou à une fonction spécifique de l’entreprise en vertu de la loi applicable. Elle ne saurait annuler ou remplacer ces règles et prescriptions.
2. CHAMP D’APPLICATION
La Déclaration vaut pour CPE et pour toute personne qui traite des données personnelles pour le compte de CPE, y compris les salariés, étudiants, stagiaires, intérimaires, collaborateurs indépendants, sous-traitants, freelances, partenaires et associés.
La Déclaration s’adresse à toute personne qui fournit des services professionnels aux clients ou des services internes à l’entreprise, dans quelque domaine que ce soit.
3. DÉFINITIONS
Les « Données personnelles » sont toutes les données relatives à une personne physique identifiée ou identifiable (la « Personne concernée »). Une personne identifiable est une personne physique qui peut être identifiée directement ou indirectement, notamment à partir de données telles qu’un nom, un numéro d’identification, des données de localisation, des données en ligne ou une ou plusieurs caractéristiques de l’identité physique, physiologique, génétique, psychologique, économique, culturelle ou sociale de cette personne physique.
Les « Données personnelles sensibles » sont des Données personnelles relatives à une personne physique qui révèlent son appartenance raciale, son origine ethnique, ses opinions politiques, ses convictions religieuses ou philosophiques, son affiliation à un syndicat, sa santé, son comportement sexuel, son appartenance sexuelle, ses données génétiques et biométriques, aux seules fins d’identification de la personne ou en vue de condamnations pénales.
Le « Traitement des données » est une opération ou un ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données personnelles ou des ensembles de Données personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Le « Responsable du traitement » est une personne physique ou morale, une autorité publique, un service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine la finalité et les moyens du Traitement des Données personnelles.
Le « Sous-traitant » est une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des Données personnelles pour le compte du Responsable du traitement.
L’« Europe » désigne, aux fins de la Déclaration, « l’Espace économique européen et la Suisse ».
L’« Accord sur le traitement de données » désigne un contrat ou tout autre type d’instrument juridique contenant des conditions relatives au Traitement de données personnelles, conclu dans le cadre d’un accord de services professionnels.
La « Violation de données personnelles » est une atteinte à la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération ou la divulgation non autorisée de Données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
4. PRINCIPES RÉGISSANT LE TRAITEMENT DES DONNÉES PERSONNELLES
Comme mentionné ci-dessus, l’objectif de la Déclaration est de fournir des directives concernant le Traitement correct des Données personnelles. Quel que soit le type de Données personnelles traitées et quelle que soit la manière dont ces Données personnelles sont traitées, chacun doit se conformer aux huit principes de base suivants.
4.1 LES DONNÉES PERSONNELLES DOIVENT ÊTRE TRAITÉES LÉGALEMENT ET CONVENABLEMENT
Les Données personnelles doivent être collectées et traitées de manière légale et convenable. En pratique, cela signifie que CPE doit :
- se reposer sur une base légale et légitime pour la collecte et l’utilisation de Données personnelles ;
- être transparente sur la manière dont les Données personnelles seront traitées, et informer adéquatement les personnes physiques (clients, travailleurs ou autres) de leurs droits au respect de la vie privée lorsqu’elle collecte leurs Données personnelles ;
- manier les Données personnelles d’une manière raisonnablement prévisible ;
- s’assurer que les Données personnelles ne sont pas utilisées de manière illicite.
Les Données personnelles doivent être collectées à des fins explicitement définies. En pratique, cela signifie que CPE doit :
- préciser dès le départ les Données personnelles qu’elle collectera et à quelles fins elles seront utilisées ;
- s’assurer, si les Données personnelles sont utilisées à des fins autres que celles définies initialement, que la Personne concernée en est informée et que l’utilisation est justifiée.
Les Données personnelles doivent être suffisantes, pertinentes et limitées à ce qui est nécessaire pour les finalités visées. En pratique, cela signifie que CPE doit s’assurer que :
- seules les Données personnelles nécessaires à une fin spécifique sont demandées et collectées ;
- seules les Données personnelles nécessaire à une fin spécifique sont conservées.
Les Données personnelles doivent être exactes et mises à jour si nécessaire. Les données inexactes et obsolètes doivent être supprimées ou modifiées. En pratique, cela signifie que CPE doit :
- s’assurer que la source dont les Données personnelles sont issues est identifiable ;
- prendre des mesures raisonnables pour s’assurer que les Données personnelles obtenues sont exactes ;
- examiner la nécessité de mettre à jour les Données personnelles.
Les Données personnelles ne peuvent être conservées plus longtemps que nécessaire. Dès lors que les Données personnelles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, elles doivent être supprimées, à moins qu’il existe une autre justification légitime à leur conservation. En pratique, cela signifie que CPE doit :
- contrôler la durée de conservation des Données personnelles ;
- déterminer à quelle fin les Données personnelles sont conservées et pendant combien de temps elles doivent être conservées à cette fin ;
- effacer les Données personnelles de manière sécurisée si elles ne sont plus nécessaires aux fins préalablement définies.
Les Données personnelles doivent être traitées dans le respect des droits des personnes physiques, en particulier :
- le droit d’être informé ;
- le droit d’accès aux données ;
- le droit de rectification ;
- le droit à l’effacement des données ;
- le droit à la limitation du Traitement ;
- le droit à la portabilité des données ;
- le droit d’opposition ;
- les droits relatifs aux décisions automatisées, y compris le profilage.
4.7 LES DONNÉES PERSONNELLES DOIVENT ÊTRE CONSERVÉES DE MANIÈRE SÉCURISÉE
Les Données personnelles doivent être conservées de manière sécurisée. En pratique, cela signifie que CPE doit :
organiser la sécurité en fonction de la nature des Données personnelles (employés, partenaires, clients ou autres) qui sont conservées et des dommages qui pourraient résulter d’une atteinte à la sécurité.
4.8 LES DONNÉES PERSONNELLES NE PEUVENT ÊTRE TRANSFÉRÉES VERS DES PAYS TIERS SANS UNE PROTECTION ADÉQUATE
Les Données personnelles ne peuvent être transférées vers des pays extérieurs à l’Europe sans une protection adéquate. Cela signifie que CPE doit :
- préalablement au transfert des Données personnelles, examiner scrupuleusement si le transfert vers un pays extérieur à l’Europe est nécessaire et si une protection adéquate sera assurée ;
- assurer une protection adéquate lors du transfert de Données personnelles en dehors de l’Europe.
5. LES DONNÉES PERSONNELLES COLLECTÉES PAR CPE ET LES DIRECTIVES MISES EN PLACE POUR LES PROTÉGER
La plupart des Données personnelles que nous traitons sont celles de nos clients, fournisseurs, candidats, travailleurs, indépendants et sous-traitants. Nous énumérons ci-dessous les catégories les plus importantes de Données personnelles que nous traitons et les finalités de leur Traitement.
5.1 LES DONNÉES DES CLIENTS
Nous collectons et traitons des Données personnelles de nos clients en distinguant trois types de Traitement de ces données :
- le Traitement nécessaire à la fourniture de nos services ;
- le Traitement à des fins administratives (facturation, contrats…) ;
- le Traitement à des fins commerciales.
Les Données personnelles sont traitées dans le cadre du contrat que le client a conclu avec nous.
Lorsque nous fournissons des services à nos clients, nous recevons et traitons des Données personnelles de leurs travailleurs, fournisseurs et clients. C’est le cas pour la plupart de nos gammes de produits. Pour certaines gammes de produits, des Données personnelles doivent être traitées sur une base régulière. C’est le cas, notamment, des gammes de produits Human Capital, Interim Management ou Payroll qui impliquent des données sensibles nécessitant une protection renforcée.
Lorsque nous traitons des Données personnelles de nos clients pour fournir nos services, nous agissons en tant que « Sous-traitant » de Données personnelles. De ce fait, l’Accord sur le traitement de données doit définir clairement les rôles et les responsabilités engagés dans le Traitement de ces Données personnelles. Cet Accord sur le traitement des données est systématiquement joint aux conditions générales des contrats que nous concluons avec nos clients.
Seuls les personnes chargées du dossier d’un client peuvent accéder aux Données personnelles de ce client et les consulter dans le cadre de la fourniture de services au client. L’accès aux données des clients est enregistré et tout « accès non autorisé » aux Données personnelles sera signalé.
Nous devons aussi nous assurer que les Données personnelles sont traitées avec précaution. Concrètement, les précautions à prendre sont détaillées ci-dessous.
Les données doivent être suffisamment protégées : des mesures de protection adéquates doivent être prises pour garantir que seules les personnes « autorisées » ont accès aux données et qu’aucun accès illicite n’est possible.
Les données doivent être traitées avec la prudence nécessaire : des mesures doivent être prises pour éviter la perte des données (par exemple : perte de clé USB, d’ordinateurs portables, de fichiers imprimés, etc.).
Les données ne peuvent être copiées sur d’autres systèmes, appareils (par exemple : des ordinateurs portables) ou emplacements qu’en cas de réelle nécessité. Les données copiées doivent aussi être protégées.
Nous ne partageons pas ces données avec des tiers (externes ou appartenant à notre réseau), à moins que le client ait donné son consentement explicite à un tel partage.
Nous demandons et collectons uniquement des Données personnelles de nos clients qui sont réellement nécessaires aux fins définies, nous informons le client de ces fins et n’utilisons les Données personnelles qu’à ces fins.
Nous ne conservons pas les Données personnelles au-delà de la durée nécessaire. Cette durée est déterminée par notre politique d’archivage. Pour certaines gammes de produits, cette durée est déterminée par la réglementation et les directives de la profession (par exemple : audit, comptabilité…).
Il convient de noter que certains de ces principes valent non seulement pour les « Données personnelles » mais aussi pour les « données en général » que nous recevons de nos clients.
Données personnelles collectées auprès de nos clients à des fins administratives
Avant de fournir des services à un nouveau client, nos procédures d’acceptation requièrent que nous collections certaines données de ce client. Certaines de ces données sont des Données personnelles, comme des coordonnées, des informations sur les dirigeants, des copies de cartes d’identité (dans le cadre de la législation sur le blanchiment d’argent)…Ces données sont conservées dans nos systèmes d’acceptation. Compte tenu de leur sensibilité, ces données doivent faire l’objet d’une protection renforcée.
À partir du moment où nous fournissons nos services à un client, ces données sont utilisées à des fins de facturation et d’administration et sont conservées dans nos systèmes ERP et nos bases de données internes. Nos clients attendent de nous que nous conservions ces informations afin de leur fournir nos services. Toutefois, il s’agit principalement d’informations administratives. Leur niveau de sensibilité est donc assez limité. Il reste que nous devons veiller à tenir ces informations à jour et éviter qu’elles deviennent publiquement accessibles.
Données personnelles des clients existants et des prospects, collectées à des fins commerciales
Nous conservons aussi des données des clients à des fins commerciales dans notre système CRM.
Il s’agit des coordonnées de nos clients existants, anciens clients et prospects. Ces données sont utilisées pour suivre les opportunités commerciales, ainsi que pour le marketing direct et les mailings.
Le client doit être informé de l’utilisation de ses données à des fins commerciales. Si le client ne permet pas l’utilisation de ses données à des fins commerciales, elles ne peuvent plus être utilisées à ces fins. La bonne pratique en la matière consiste à demander à la Personne concernée d’accepter cette utilisation par une action (par exemple, cocher une case dans un formulaire). Une autorisation déduite d’une inaction (par exemple décocher une case précochée) n’est pas suffisante.
Nous pouvons utiliser les coordonnées de nos clients existants à des fins de marketing direct, car nous avons déjà un accord contractuel avec eux. Le plus important, c’est que nous cessions d’adresser nos communications aux clients qui ont choisi de ne pas recevoir de messages de marketing direct (désabonnement ou « opt-out »). Lorsque les clients demandent à se désabonner, nous ne pouvons plus les contacter.
Les Données personnelles des prospects et des anciens clients ne peuvent être traitées que sur la base de leur consentement.
S’ils laissent leurs Données personnelles sur notre site internet, nous pouvons les traiter afin de leur fournir les informations demandées sur nos services. Si nous voulons leur envoyer des messages de marketing directs sans rapport avec leurs questions, nous devons obtenir leur consentement explicite.
5.2 LES DONNÉES DES CANDIDATS
Nous collectons et traitons des Données personnelles de candidats à un emploi dans notre entreprise, à des fins de recrutement.
Traitement de données pour le recrutement
La procédure de recrutement nécessite de recevoir des Données personnelles des candidats (par exemple, lorsqu’ils importent leur CV sur le site internet de l’entreprise ou l’envoient par courrier électronique). Les Données personnelles des candidats consistent en des données d’identification et des données sur leur parcours d’étude et de formation. Ces données peuvent être traitées sur la base du consentement du candidat concerné et peuvent être partagées avec les personnes impliquées dans la procédure de recrutement au sein de CPE. Ces données ne peuvent être partagées avec des tiers extérieurs à CPE.
Si le candidat est recruté, ses données doivent être traitées dans le cadre de sa relation avec CPE en tant que salarié ou partenaire indépendant. Si le candidat est écarté, ses données doivent être supprimées dans le respect de la durée de conservation autorisée, à moins que le candidat accepte que ses données soient conservées pour de futures procédures de recrutement.
5.3 LES DONNÉES DES TRAVAILLEURS
Nous collectons et traitons des Données personnelles de nos salariés à des fins de gestion des ressources humaines.
Traitement de données à des fins de gestion des ressources humaines
Toutes les organisations, y compris CPE, administrent des Données personnelles de leurs salariés à des fins de gestion de la paie, d’évaluation, d’évolution de carrière…La déclaration de confidentialité pour les employés précise la nature des données traitées par CPE, la finalité du Traitement et les droits des Personnes concernées. Des directives spécifiques ont été fournies au service interne de gestion des ressources humaines en vue d’un Traitement adéquat de ces données.
5.4 LES DONNÉES DES INDÉPENDANTS ET DES SOUS-TRAITANTS
Nous collectons et traitons des Données personnelles des travailleurs indépendants et des sous-traitants à des fins de facturation.
Traitement des données à des fins de facturation
Les données sont utilisées à des fins de facturation et d’administration et sont conservées dans nos systèmes ERP et bases de données internes.
La Déclaration de confidentialité pour les indépendants et sous-traitants précise la nature des données traitées par CPE, la finalité du Traitement et les droits des Personnes concernées. Des directives spécifiques ont été fournies au service interne de comptabilité en vue d’un Traitement adéquat de ces données.
6. VIOLATION DE DONNÉES PERSONNELLES
En tant qu’organisation qui traite des Données personnelles, CPE a l’obligation de notifier certaines violations de Données personnelles à l’autorité de contrôle compétente au plus tard 72 heures après en avoir pris connaissance. CPE doit aussi tenir un registre des Violations de données personnelles.
La Violation de données personnelles ne se limite pas à la perte de Données personnelles. La Violation de données personnelles est une faille de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération ou la divulgation non autorisée de données à personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
Exemples de violations de Données personnelles :
- la perte d’une clé USB, de documents ou d’un téléphone portable (nous souhaitons en être informés car un téléphone portable permet d’accéder au courrier électronique) ;
- l’envoi de Données personnelles à une mauvaise adresse (par exemple par courriel) ;
- la perte ou le vol d’équipement informatique contenant des Données personnelles ;
- la perte d’un fichier imprimé ;
- l’ouverture d’une pièce jointe à un courriel contenant un virus qui rend l’équipement informatique indisponible ;
- une réaction inadéquate à des tentatives d’hameçonnage menant à la divulgation de mots de passe.
- ...
Si vous avez des questions ou des objections concernant la Déclaration, vous pouvez contacter privacy@tectumgroup.be
DÉCLARATION RELATIVE AUX COOKIES
1. LES COOKIES
CPE s’emploie à vous informer clairement sur l’utilisation des cookies sur nos sites internet et leur stockage sur votre appareil (ordinateur, tablette, smartphone, etc.) afin que votre visite sur nos sites internet soit facilitée, plus agréable et adaptée à vos besoins et préférences.
Les « cookies » sont de petits fichiers de données ou de texte qui sont placés sur votre ordinateur ou appareil mobile et stockés suite à une visite sur l’un de nos sites internet. Ces cookies nous permettent d’optimiser votre visite sur notre site internet au moyen de certaines actions utiles, comme l’amélioration de la sécurité du site internet et de l’expérience utilisateur en général. Ainsi, le site internet peut notamment se souvenir des pages que vous avez visitées et de vos préférences (comme le nom d’utilisateur, la langue, la taille de police et d’autres préférences) afin que vous n’ayez pas à les définir à chaque fois que vous visitez le site internet. D’autres cookies fournissent une analyse d’informations comme le nombre de visites sur un site internet. D’autres cookies sont utilisés à des fins de marketing.
Pour une utilisation optimale de ce site internet, il est donc conseillé d’activer et/ou d’accepter les cookies sur votre ordinateur ou appareil mobile. Si vous désactivez les cookies, nous ne pouvons pas garantir une visite sans problème de notre site internet, car il existe un risque que votre visite soit interrompue ou ralentie et que vous ne puissiez accéder à certaines parties du site internet ou les utiliser. Si vous souhaitez néanmoins supprimer ou bloquer ces cookies, vous pouvez le définir dans les paramètres de votre navigateur.
La plupart des navigateurs internet sont configurés par défaut pour accepter les cookies, mais vous pouvez supprimer les cookies déjà placés et restreindre et/ou bloquer le placement de nouveaux cookies en réglant les paramètres de votre navigateur. Les possibilités de personnalisation des paramètres du navigateur varient selon le navigateur.
Si vous supprimez ou bloquez les cookies dans votre navigateur, vous devrez indiquer vos préférences à chaque visite, avec la possibilité que certaines parties du site internet ne fonctionnent pas (correctement).
2. LES COOKIES CHEZ CPE
Sur nos sites internet, des cookies de session et des cookies permanents sont utilisés, notamment, aux fins suivantes : processus, préférences, sécurité, publicité, performance, etc.
Si vous préférez restreindre, bloquer ou supprimer les cookies, vous pouvez régler les paramètres de votre navigateur comme décrit ci-dessus.