Politique de protection et confidentialité des données 

Version : DP202112/001 – dernière mise à jour : 21 décembre 2021

Introduction et règles opérationnelles

Avec ce document, ekonoo met en œuvre les dispositions introduites par le Règlement européen 2016/679 sur la protection des personnes physiques et traitement de données à caractère personnel ainsi qu’à la libre circulation de ces mêmes données. Ce règlement abroge la Directive 95/46/EC (Règlement Général sur la Protection des Données) (ci-après « RGPD ») et définit les exigences sur les sujets liés à la protection des données. Le but de ce document est d’assurer une application des exigences et principes du RGPD au sein d’ekonoo S.A. (ci-après « ekonoo » ou « nous »).

Le RGPD est applicable à tous les pays membres de l’UE depuis le 26 mai 2018 sans qu’il soit nécessaire de transposer ce règlement dans les différentes lois nationales. La loi du 1er août 2018 a été votée afin de permettre à la Commission Nationale de la Protection des Données (ci-après « CNPD ») de renforcer le RGPD au Luxembourg.

Le RGPD s’applique à des personnes physiques (p.ex. clients, utilisateurs, représentants des clients, représentants de sociétés sous-jacentes, employés et/ou de tiers) y compris les entreprises individuelles et les travailleurs indépendants, quels que soient leur nationalité ou leur lieu de résidence. Les données de ces personnes physiques seront traitées par ekonoo en tant que société établie sous le droit européen.

Le champ d’application territorial du RGPD fonctionne avec trois règles de base : (i) nationalité et/ou lieu de résidence de la personne concernée, (ii) lieu où les données sont traitées, (iii) si les biens ou services visent ou non les ressortissants et/ou résidents de l’UE.

Modification et suppression

La politique de protection des données doit être revue et mise à jour de façon annuelle ou aussi souvent que les circonstances le rendent nécessaire.

Les modifications doivent être proposées par le Délégué à la Protection des Données (DPO) et validées par le Conseil d’Administration.

Champ d’application

La politique de protection des données fournit des informations basiques sur la gouvernance et l’organisation d’ekonoo concernant la protection des données à caractère personnel. Le public visé par ce document est l’ensemble de l’équipe ekonoo ainsi que son Conseil d’Administration, qui sont responsables du respect de cette politique avec le soutien de la direction qui peut fournir des clarifications supplémentaires si nécessaire.

Les parties prenantes impliquées dans la protection des données à caractère personnel (Conseil d’Administration, Direction autorisée, Fonctions de contrôle et de support, Délégué à la Protection des Données, tiers agissant au nom ou sous le contrôle/instructions de la part d’ekonoo et de ses employés) sont tenues de jouer un rôle actif dans la mise en oeuvre et le respect de cette politique au sein de leurs activités journalières.

Rôles et responsabilités

Afin d’assurer la conformité d’ekonoo au RGPD, les rôles et responsabilités ci-dessous ont été attribuées.

Conseil d’Administration

Le Conseil est responsable de tous les aspects de la protection des données à caractère personnel et doit certifier cette confidentialité (y compris le secret professionnel, protection des données privées et la confidentialité de l’information). Le Conseil confie à la Direction autorisée la définition des objectifs et les principes de la protection des données à caractère personnel.

Le Conseil s’assure qu’ekonoo dispose des ressources et de l’expertise pour s’aligner avec les obligations telles que définies dans le RGPD ou cette politique.

Le Conseil évalue chaque année le niveau de conformité avec les lois respectives en ce qui concerne le champ d’application de cette politique et, le cas échéant, demande à la Direction autorisée de combler toute lacune identifiée.

Le Conseil définit la Protection des données et la Politique de confidentialité des données comme étant partie de la stratégie d’ekonoo.

Direction autorisée

La Direction autorisée doit communiquer aux employés que la confidentialité est vitale au fonctionnement d’ekonoo. Dès lors, la culture de conformité est une responsabilité très importante de cette fonction.

Les Directeurs autorisés ont les responsabilités suivantes en ce qui concerne cette politique :

Délégué à la Protection des Données (DPO)

ekonoo a décidé d’attribuer la fonction de la protection des données au niveau de la conformité afin de garantir la connaissance, l’indépendance et l’ancienneté. Les tâches du DPO sont les suivantes mais ne sont pas limitées à :

Informer et conseiller

Rapport annuel au Conseil d’Administration

Contrôler la conformité du RGPD

Mettre en œuvre des politiques et procédures

Analyse d’impact sur la protection des données (DPIA)

Registre des activités de traitement

Violation des données, notifications sur les violations RGPD

Coopération avec les autorités de régulation

Procédure sur les réclamations

Employés

Afin d’assurer l’efficacité de cette politique et des procédures annexes, chaque employé doit se conformer aux instructions des parties énoncées ci-dessus et agir conformément aux principes définis.

Les employés et les membres du Conseil doivent :

Les employés qui ont connaissance d’un événement lié au traitement des données personnelles qui pourrait, en fonction de sa gravité, porter préjudice à ekonoo et/ou à ses Clients (p.ex. un traitement dont on avait cru qu’il avait été traité de manière conforme, des violations potentielles des données personnelles ou des violations du RGPD, etc.), doivent immédiatement informer le DPO.

Principes de la protection de données à caractère personnel

Lors de la réalisation des activités de traitement des données personnelles, les principes suivants s’appliquent :

Exigences en matière de protection de données

Traitement licite des données personnelles

ekonoo ne traite les données à caractère personnel que sur la base d’au moins un des six fondements juridiques énumérés ci-dessous :

1. Consentement – qui doit être :

2. Nécessaire à l’exécution d’un contrat avec la personne concernée et/ou le traitement des données pour préparer ces contrats.

La nécessité ne sera pas définie par une disposition contractuelle, mais par la nécessité matérielle d’exécuter un certain nombre d’activités de traitement de données sans lesquelles le contrat ne saurait être pleinement exécuté et ce, tel que défini par le Conseil Européen de la protection des données (ancien article 29 du Groupe de travail).

3. Conformité avec l’obligation légale qui doit être :

4. Protection de l’intérêt vital de la personne concernée ou toute autre personne physique.

5. Exécution d’une tâche effectuée dans l’intérêt public ou dans l’exercice de l’autorité officielle dont le contrôleur de données dispose.

6. Objectifs d’intérêts légitimes poursuivis par le contrôleur de données ou une tierce partie. Pour invoquer l’intérêt légitime, il faut effectuer un test préalable pour équilibrer la décision et sa conclusion doit être positive afin d’appliquer la licéité.

Registre du traitement des activités (Register of Processing Activities – ROPA)

ekonoo doit créer et maintenir un registre du traitement des activités listant les activités qui font partie du champ d’application RGPD.

Le registre du traitement des activités est une mesure de responsabilité qui permet à ekonoo de contrôler, définir et comprendre le traitement des données à caractère personnel mais aussi de mettre en place des mesures pour gérer les risques liés au traitement des données à caractère personnel (p.ex. technique, administratif, arrangements, etc.).

Pour garder ce registre à jour et s’assurer que l’information est complète et juste, chaque ligne d’activité est chargée de déclarer les processus existants (mais aussi les modifications), ceux à être créés ou supprimés, directement au DPO.

Dans l’article 30 RGPD, le DPO est responsable de la création d’un registre (électronique) du traitement des données à caractère personnel. Ce registre doit inclure, au minimum, les données suivantes :

La protection des données dès la conception / la protection des données par défaut

ekonoo matérialise la protection des données dès la conception de ses produits et services et inclut toutes les considérations en matière de protection de données, dans la conception d’un nouveau produit ou de nouveaux services et dans tout changement de processus.

La protection des données par défaut signifie que l’Univers ekonoo fait de la protection des données une caractéristique principale. Par conséquent, ceci va définir par défaut tous les paramètres qui limitent le traitement des données personnelles.

ekonoo définit et met en œuvre un ensemble de mesures administratives, techniques, opérationnelles et organisationnelles pour concrétiser les règles incluses dans cette politique et dans chaque procédure liée.

Analyse d’impact sur la protection des données (Data Protection Impact Assessment – nommée DPIA par la suite)

ekonoo définit et met en oeuvre une méthodologie pour produire les DPIA(s) mais va également définir dans quels cas la DPIA sera nécessaire.

La DPIA est nécessaire lorsque :

Les points qui suivent font partie des processus de performance de la DPIA.

Définition des responsabilités :

Le processus de la DPIA est divisé en six étapes énumérées ci-dessous :

  1. Création de : (i) la méthodologie, (ii) la création du formulaire destiné à définir le besoin d’une DPIA et (iii) la création de la DPIA ;
  2. Remplir le formulaire requis par la DPIA (à moins qu’il y ait un réel besoin d’une DPIA) ;
  3. Si le formulaire DPIA confirme qu’une DPIA est nécessaire, alors il faudra remplir le formulaire ;
  4. Évaluation du risque visant à identifier et évaluer l’efficacité des contrôles et mesures techniques et organisationnelles (y compris les mesures de sécurité) qui vont permettre de gérer les risques de protection des données ;
  5. Traitement et validation du risque visant à identifier les actions nécessaires au cas où l’évaluation du risque résiduel mettrait en évidence une exposition au risque non convenablement gérée ;
  6. Rapport visant à informer et fournir aux parties prenantes (p.ex. la ligne hiérarchique et le DPO) des preuves d’exécution de la DPIA.
Notice de protection des données

Toute personne concernée doit avoir un accès facile et clair à une communication expliquant les données personnelles qui sont traitées et les conditions dans lesquelles ces données sont traitées (p.ex. transfert, période de rétention, etc.), quelle que soit la licéité du traitement et ce de manière équitable et transparente.

La notice d’information doit être fournie avant que le traitement des données commence et au moment de la collecte des données personnelles.

L’information doit être présentée de façon concise, claire, facile à comprendre et rendue accessible de façon intuitive. Pour cela, la notice d’information doit utiliser un langage clair et simple (surtout dans les situations où la personne concernée serait un enfant).

ekonoo s’assure que la notice de protection des données inclut toutes les exigences présentées dans les articles 13 et 14 du RGPD.

Stockage des données personnelles

Toutes les informations concernant les personnes concernées (qui sont soumises à des périodes de conservation) doivent être conservées de manière à permettre leur exploitation et leur utilisation, aux fins des activités de traitement des données pour lesquelles elles ont été collectées. Une fois la période de conservation expirée, ces données seront supprimées ou rendues anonymes.

Pendant la période de conservation, toutes les données (y compris des pièces justificatives) sont stockées dans un endroit sûr afin de les protéger contre tout traitement non-autorisé ou illégal ou encore contre toute perte accidentelle, destruction ou dommage.

Les périodes de conservation sont documentées dans le Registre du traitement des activités (ROPA) tel que décrit dans la section 5.2.

Utilisation des données personnelles

Les données personnelles ne peuvent pas être utilisées à des fins incompatibles avec celles pour lesquelles elles ont été collectées.

Les accès aux données sont liés au principe du « need to know » (accès limité selon le besoin de savoir) et aux règles définies pour toute demande d’accès et les contrôles établis par l’ISO.

Suppression des données personnelles

Sur base des principes du respect des périodes de conservation et de traitement licite, les données ne doivent être conservées que dans les cas où leur conservation est licite et fondée sur une finalité définie.

Une fois la période de conservation expirée, ou lorsque le concept de légalité n’est plus présent ou encore parce que l’objectif de collecte est obsolète, les données personnelles doivent être effacées ou rendues anonymes de telle façon à ce que la personne concernée ne soit plus identifiable.

Le principe de limite de conservation doit être appliqué également sur toutes les données présentes dans des documents, dossiers en format papier, les lecteurs de données ou toute autre méthode de conservation.

Précision des données personnelles

ekonoo s’appuie sur la pertinence des données dans le but de fournir des produits aux clients et à toute personne faisant partie de l’Univers ekonoo.

Pour cette raison, toutes les données doivent être à jour et une cohérence entre les différents systèmes doit être assurée.

En outre, ekonoo doit renforcer la possibilité des personnes concernées à rectifier leurs données afin que celles-ci soient fidèles et représentent la réalité.

Droits de la personne concernée

Le RGPD définit un ensemble de droits applicables aux personnes concernées.

Pour cette raison, les personnes concernées bénéficient de la possibilité d’appliquer leurs droits dans de nombreux cas. Toutefois, certains droits sont soumis à des limitations dans certains cas.

ekonoo fournit aux personnes concernées* tous les moyens possibles pour qu’ils puissent exercer ces droits, y compris les formulaires et canaux de communication tels que : l’email du DPO, l’adresse postale d’ekonoo et d’autres options qui font partie de l’Univers ekonoo.

[* Une attention particulière doit être accordée aux cas où ekonoo n’est pas le responsable du traitement des données afin d’orienter le demandeur en conséquence.]

Conformément au RGPD, ekonoo dispose d’un mois maximum, à compter de la réception d’une demande, pour fournir une réponse. Il se peut que, dans certains cas, ekonoo ait besoin de plus de temps pour répondre. Si tel est le cas, la personne concernée ou le demandeur doivent être informés du retard, y compris des raisons derrière ce retard et le temps nécessaire avant d’avoir une réponse complète (qui ne pourra pas dépasser la durée de deux mois ou plus).

Lorsque ekonoo doit vérifier l’identité du demandeur ou de la personne concernée, ceci peut être considéré comme une raison pour un éventuel retard et peut aussi dépendre du temps que le demandeur ou la personne concernée pourra prendre à répondre selon certains cas.

Droit d’accès

La personne concernée a le droit d’obtenir, de la part du contrôleur des données, une confirmation si ses données personnelles sont traitées ou non et, le cas échéant, l’accès à ses données personnelles.

Les évaluations internes et les données soumises au secret professionnel ou encore aux règles de confidentialité, ne sont pas couvertes par ce droit.

Droit de rectification

La personne concernée a le droit de demander qu’ekonoo (quand il agit en tant que responsable du traitement) modifie toutes données inexactes et/ou obsolètes afin que cela représente la réalité et la conformité avec l’article 5 du RGPD.

Droit à l’effacement (“Droit à l’oubli”)

La personne concernée peut demander à ekonoo d’effacer ses données personnelles dans les cas où ces données ne sont pas couvertes par une période de conservation.

En général, compte tenu de la nature d’ekonoo (en tant qu’entité supervisée), l’expiration de la période de conservation déclenchera une destruction, la suppression ou l’anonymisation des données.

Si la personne concernée demandait la suppression de ces données, celle-ci devrait être approuvée par le Délégué à la protection des données (DPO), le Chief Compliance Officer, l’Information Security Officer (ISO) et un membre de la Direction autorisée.

Droit à la limitation du traitement

Les personnes concernées peuvent demander de limiter tout traitement de leurs données personnelles et de ne plus effectuer de modifications lorsque les circonstances suivantes se produisent :

Droit à la portabilité des données

Les personnes concernées ont le droit de recevoir des copies de leurs données personnelles dans un format structuré, couramment utilisé, lisible par une machine et de transmettre ces données à un autre contrôleur de données.

Ce droit ne s’applique qu’aux activités de traitement fondées sur le consentement de la personne concernée sur base d’un contrat et effectuée par des moyens automatisés qui couvre les données personnelles de la personne concernée.

Droit d’opposition

Les personnes concernées peuvent s’opposer au traitement de leurs données personnelles dans les cas suivants :

Tout autre cas sera noté comme étant non éligible à l’opposition.

Décision individuelle automatisée, y compris le profilage

Les personnes concernées ont le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement des données automatisé, y compris le profilage, sauf lorsque le traitement automatisé est :

Sécurité des données (informations) personnelles

Le contrôleur de données ou le sous-traitant doivent mettre en place mesures techniques et organisationnelles afin d’assurer un niveau de sécurité qui est approprié au risque, tout en prenant en considération les paramètres suivants :

Conformément aux normes RGPD, ekonoo doit adopter et mettre en œuvre des mesures de sécurité techniques et organisationnelles considérées comme appropriées pour la protection des données personnelles traitées par ou au nom d’ekonoo.

Les domaines d’application des techniques et des mesures organisationnelles sont reportées ci-dessous :

Violation de données

En cas de violation de données, il faut remonter l’information au DPO et à l’ISO afin qu’ils puissent créer un groupe d’action spécial chargé de contenir et de gérer l’impact de cette violation.

Ce groupe d’action spécial analysera les conditions sous lesquelles la violation a eu lieu et présentera des suggestions à la Direction autorisée en ce qui concerne les actions compensatoires.

Lorsqu’il le juge approprié, le DPO informera les autorités de protection de données et/ou la personne concernée, selon les cas tels que définis dans la section 9.

Notification des violations de données

En cas de suspicion, de détention, d’aggravation ou d’apparition d’une violation de données (« Incident »), les étapes suivantes doivent être suivies :

  1. Informer le DPO et l’ISO selon les cas ;
  2. Créer un groupe d’action spécial afin d’analyser l’Incident potentiel ;
  3. Documenter l’analyse ;
  4. Définir des actions à suivre selon la décision du DPO ;
  5. Informer la Direction autorisée ;
  6. Définir les mesures appropriées pour gérer les impacts ;
  7. Prendre une décision concernant la notification aux autorités de protection des données ;
  8. Prendre une décision concernant la communication aux personnes concernées ;
  9. Suivre les mesures telles que définies au point 6 de cette procédure ;
  10. Faire vérifier par le DPO et rédiger un rapport à la Direction afin de clôturer l’Incident.

Gestion des violations de données RGPD

Au cas où une violation au RGPD est suspectée, détectée, transmise ou remarquée (« Incident »), les étapes suivantes doivent être suivies :

  1. Informer le DPO sur l’Incident potentiel ;
  2. Créer un groupe d’action spécial afin d’analyser l’Incident et l’impact potentiel ;
  3. Documenter l’analyse ;
  4. Informer la Direction autorisée ;
  5. Définir les mesures d’atténuation et de compensation ;
  6. Prendre une décision concernant la notification aux autorités de protection des données ;
  7. Faire un suivi des mesures telles que définies au point 5 ;
  8. Faire vérifier par le DPO et rédiger un rapport à la Direction afin de clôturer l’Incident.

Contact

ekonoo peut être contacté par les canaux suivants :