Politique de Protection et confidentialité des données
Version : DP202112/001 – dernière mise à jour : 21 décembre 2021
Introduction et règles opérationnelles
Avec ce document, ekonoo met en œuvre les dispositions introduites par le Règlement européen 2016/679 sur la protection des personnes physiques et traitement de données à caractère personnel ainsi qu’à la libre circulation de ces mêmes données. Ce règlement abroge la Directive 95/46/EC (Règlement Général sur la Protection des Données) (ci-après « RGPD ») et définit les exigences sur les sujets liés à la protection des données. Le but de ce document est d’assurer une application des exigences et principes du RGPD au sein d’ekonoo S.A. (ci-après « ekonoo » ou « nous »).
Le RGPD est applicable à tous les pays membres de l’UE depuis le 26 mai 2018 sans qu’il soit nécessaire de transposer ce règlement dans les différentes lois nationales. La loi du 1er août 2018 a été votée afin de permettre à la Commission Nationale de la Protection des Données (ci-après « CNPD ») de renforcer le RGPD au Luxembourg.
Le RGPD s’applique à des personnes physiques (p.ex. clients, utilisateurs, représentants des clients, représentants de sociétés sous-jacentes, employés et/ou de tiers) y compris les entreprises individuelles et les travailleurs indépendants, quels que soient leur nationalité ou leur lieu de résidence. Les données de ces personnes physiques seront traitées par ekonoo en tant que société établie sous le droit européen.
Le champ d’application territorial du RGPD fonctionne avec trois règles de base : (i) nationalité et/ou lieu de résidence de la personne concernée, (ii) lieu où les données sont traitées, (iii) si les biens ou services visent ou non les ressortissants et/ou résidents de l’UE.
Modification et suppression
La politique de protection des données doit être revue et mise à jour de façon annuelle ou aussi souvent que les circonstances le rendent nécessaire.
Les modifications doivent être proposées par le Délégué à la Protection des Données (DPO) et validées par le Conseil d’Administration.
- Champ d’application
La politique de protection des données fournit des informations basiques sur la gouvernance et l’organisation d’ekonoo concernant la protection des données à caractère personnel. Le public visé par ce document est l’ensemble de l’équipe ekonoo ainsi que son Conseil d’Administration, qui sont responsables du respect de cette politique avec le soutien de la direction qui peut fournir des clarifications supplémentaires si nécessaire.
Les parties prenantes impliquées dans la protection des données à caractère personnel (Conseil d’Administration, Direction autorisée, Fonctions de contrôle et de support, Délégué à la Protection des Données, tiers agissant au nom ou sous le contrôle/instructions de la part d’ekonoo et de ses employés) sont tenues de jouer un rôle actif dans la mise en oeuvre et le respect de cette politique au sein de leurs activités journalières.
- Rôles et responsabilités
Afin d’assurer la conformité d’ekonoo au RGPD, les rôles et responsabilités ci-dessous ont été attribuées.
- Conseil d’Administration
Le Conseil est responsable de tous les aspects de la protection des données à caractère personnel et doit certifier cette confidentialité (y compris le secret professionnel, protection des données privées et la confidentialité de l’information). Le Conseil confie à la Direction autorisée la définition des objectifs et les principes de la protection des données à caractère personnel.
Le Conseil s’assure qu’ekonoo dispose des ressources et de l’expertise pour s’aligner avec les obligations telles que définies dans le RGPD ou cette politique.
Le Conseil évalue chaque année le niveau de conformité avec les lois respectives en ce qui concerne le champ d’application de cette politique et, le cas échéant, demande à la Direction autorisée de combler toute lacune identifiée.
Le Conseil définit la Protection des données et la Politique de confidentialité des données comme étant partie de la stratégie d’ekonoo.
- Direction autorisée
La Direction autorisée doit communiquer aux employés que la confidentialité est vitale au fonctionnement d’ekonoo. Dès lors, la culture de conformité est une responsabilité très importante de cette fonction.
Les Directeurs autorisés ont les responsabilités suivantes en ce qui concerne cette politique :
- Assurer l’intégration de cette politique en soutenant toutes les actions au sein du champ d’application mais aussi de mettre à disposition toutes les ressources nécessaires à leur réalisation ;
- Impliquer le DPO et le ISO dans toutes les questions relatives à la protection des données à caractère personnel ;
- Assurer que la Sécurité d’information et la Stratégie sur la Cyber-sécurité soient exécutés par le ISO et qu’elles soient alignées avec les objectifs de l’entreprise ;
- Assurer que le DPO et le ISO soient indépendants et qu’il n’y ait aucun conflit d’intérêts entre leurs fonctions ;
- Soutenir le DPO sur toutes les questions concernant la protection des données à caractère personnel ;
- Contrôler et vérifier que les contrôles-clés sont appliqués de façon consistante et efficace au sein d’ekonoo ;
- Assurer que les objectifs de l’entreprise, politiques, programmes, initiatives et projets soient alignés avec la politique de Protection des données ;
- Contrôler et ajuster la structure de gouvernance ;
- Mettre en œuvre la méthodologie de l’analyse d’impact avec le soutien du DPO.
- Délégué à la Protection des Données (DPO)
ekonoo a décidé d’attribuer la fonction de la protection des données au niveau de la conformité afin de garantir la connaissance, l’indépendance et l’ancienneté. Les tâches du DPO sont les suivantes mais ne sont pas limitées à :
Informer et conseiller
- Informer et conseiller les unités opérationnelles d’ekonoo en ce qui concerne les obligations RGPD ;
- Préparer / mettre à jour et confirmer la notice d’information sur la protection des données ainsi que des éventuels accords ;
- Analyser et interpréter le RGPD et toute nouvelle disposition réglementaire émise par les autorités locales ou européennes de la protection des données ;
- Conseiller et traiter les réclamations les plus importes et complexes concernant la protection des données ;
- S’impliquer dans tous les projets et processus liés à la protection des données (p.ex. protection des données par la conception et par défaut).
Rapport annuel au Conseil d’Administration
- Présenter, au moins une fois par an, un rapport sur les initiatives prises pour protéger les données à caractère personnel et la gestion des risques d’une violation RGPD et/ou violation des données personnelles. Ce rapport doit également montrer l’avancement sur le programme des formations et mesures prises afin de sensibiliser les individus au RGPD.
Contrôler la conformité du RGPD
- Contrôler la conformité du RGPD, ensemble avec d’autres dispositions de l’Union ou États-membres en matière de protection des données et les politiques internes.
Mettre en œuvre des politiques et procédures
- Mettre en œuvre des politiques et procédures pour répondre aux exigences réglementaires.
Analyse d’impact sur la protection des données (DPIA)
- Intégrer la méthodologie DPIA ;
- Conseiller les départements sur la nécessité d’effectuer un DPIA et les aider à définir des mesures pour gérer les risques détectés.
Registre des activités de traitement
- Aider ekonoo à remplir le registre des activités de traitement tout en vérifiant la conformité avec les exigences RGPD.
Violation des données, notifications sur les violations RGPD
- Déterminer quand et si une violation a eu lieu ;
- Être le point de contact pour toutes les personnes concernées (y compris les employés) ;
- Analyser les informations concernant la violation, en coordination avec le ISO ;
- Signaler les violations aux autorités de protection des données si nécessaire ;
- Informer les personnes concernées si nécessaire.
Coopération avec les autorités de régulation
- Répondre aux inspections et les demandes envoyées par les autorités de protection de données ;
- Participer et réaliser les recherches sur les nouvelles lois et la réglementation sur la confidentialité au niveau local et européen.
Procédure sur les réclamations
- Être informé de toute événement lié au traitement des données à caractère personnel qui pourrait, en fonction de leur gravité, nuire à ekonoo et/ou à ses clients.
- Employés
Afin d’assurer l’efficacité de cette politique et des procédures annexes, chaque employé doit se conformer aux instructions des parties énoncées ci-dessus et agir conformément aux principes définis.
Les employés et les membres du Conseil doivent :
- Contacter le DPO avant la mise en œuvre ou modification de tout traitement de données afin de compléter le registre des données à caractère personnel ;
- Être en contact avec les propriétaires des données afin de comprendre leur exigences ou contraintes sur l’utilisation de ces données ;
- Mettre à jour le registre des données personnelles si nécessaire ;
- Participer à la réalisation, révision et mise à jour de l’analyse d’impact sur la protection des données (DPIA) ;
- Approuver toutes les questions de gouvernance ayant un impact sur le traitement des données personnelles ;
- Comprendre les questions juridiques, de conformité et réglementaires ayant un impact sur le traitement de données personnelles.
Les employés qui ont connaissance d’un événement lié au traitement des données personnelles qui pourrait, en fonction de sa gravité, porter préjudice à ekonoo et/ou à ses Clients (p.ex. un traitement dont on avait cru qu’il avait été traité de manière conforme, des violations potentielles des données personnelles ou des violations du RGPD, etc.), doivent immédiatement informer le DPO.
- Principes de la protection de données à caractère personnel
Lors de la réalisation des activités de traitement des données personnelles, les principes suivants s’appliquent :
- Licéité, loyauté et transparence : les données à caractère personnel doivent être traitées de manière licite, loyale et transparente à l’égard de la personne concernée ;
- Limitation de la finalité : les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées de manière incompatible avec ces finalités ;
- Minimisation des données : les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire aux finalités pour lesquelles elles sont traitées. Le contact accidentel avec d’autres données à caractère personnel, basé sur le principe de non-division, déclenche l’application de tous les contrôles et garanties ;
- Exactitude : les données personnelles doivent être exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables doivent être prises pour que les données inexactes soient effacées ou rectifiées sans aucun délai ;
- Limitation de stockage (période de conservation des données) : les données à caractère personnel doivent être conservées dans un format permettant d’identifier les personnes concernées pendant une durée qui n’excède pas la durée nécessaire pour laquelle les données sont traitées. La période de conservation doit également se faire conformément aux règles et réglementations applicables ;
- Intégrité et Confidentialité : les données personnelles doivent être traitées de façon à assurer la sécurité des données, y compris la protection contre le traitement non autorisé ou illégal de ces données, la destruction ou perte accidentelle, en utilisant des mesures techniques et organisationnelles. Les accès aux données personnelles doivent avoir lieu sur base d’une autorisation appropriée et un savoir-faire de l’entreprise. Toute tierce partie, qui a accès à ces données personnelles, est responsable de leur protection et doit être surveillée pour s’assurer qu’elle est conforme aux lois et règlements applicables en matière de protection des données ;
- Redevabilité/Responsabilité : le contrôleur de données est responsable de la conformité au RGPD et doit être en mesure de le démontrer
- Exigences en matière de protection de données
- Traitement licite des données personnelles
ekonoo ne traite les données à caractère personnel que sur la base d’au moins un des six fondements juridiques énumérés ci-dessous :
i. Consentement – qui doit être :
- Donné librement – une représentation claire de la volonté de la personne concernée qui est alignée avec la liberté de ses choix ;
- Spécifique – il est nécessaire d’obtenir des consentements distincts pour différentes activités de traitement tout en s’assurant que la personne concernée a accès à un degré de contrôle et de transparence sur ses données ;
- Informé – fournir des informations suffisantes et complètes à la personne concernée est la clé d’un consentement éclairé. Cela inclut l’option de retirer son consentement à tout moment ;
- Indication sans ambiguïté de la volonté de la personne concernée – action effectuée par la personne concernée pour manifester de façon claire sa volonté ;
- Explicite – ne peut pas être basé sur une supposition de la part d’ekonoo, mais d’une action claire de la part de la personne concernée ;
- Traçable – chaque donnée collectée doit être documentée et enregistrée pour une revue ou une reproduction des conditions pour lesquelles le consentement a été donné ;
- Révocable – les personnes concernées ont le droit de révoquer les consentements préalablement donnés, sans préjudice. Retirer son consentement doit être aussi facile à retirer que pour le donner.
ii. Nécessaire à l’exécution d’un contrat avec la personne concernée et/ou le traitement des données pour préparer ces contrats.
La nécessité ne sera pas définie par une disposition contractuelle, mais par la nécessité matérielle d’exécuter un certain nombre d’activités de traitement de données sans lesquelles le contrat ne saurait être pleinement exécuté et ce, tel que défini par le Conseil Européen de la protection des données (ancien article 29 du Groupe de travail).
iii. Conformité avec l’obligation légale qui doit être :
- Une obligation du droit des États-membres ou du droit de l’UE à laquelle le contrôleur de données est soumis, et
- Une obligation claire et précise lorsque son application est lié à la situation de la personne concernée (p.ex. déclaration aux autorités du pays d’origine basé sur la loi sur l’extraterritorialité). Le contrôleur de données doit évaluer si l’obligation légale contient un fondement juridique en ce qui concerne la divulgation des données à caractère personnel.
iv. Protection de l’intérêt vital de la personne concernée ou toute autre personne physique.
v. Exécution d’une tâche effectuée dans l’intérêt public ou dans l’exercice de l’autorité officielle dont le contrôleur de données dispose.
vi. Objectifs d’intérêts légitimes poursuivis par le contrôleur de données ou une tierce partie. Pour invoquer l’intérêt légitime, il faut effectuer un test préalable pour équilibrer la décision et sa conclusion doit être positive afin d’appliquer la licéité.
- Registre du traitement des activités (Register of Processing Activities – ROPA)
ekonoo doit créer et maintenir un registre du traitement des activités listant les activités qui font partie du champ d’application RGPD.
Le registre du traitement des activités est une mesure de responsabilité qui permet à ekonoo de contrôler, définir et comprendre le traitement des données à caractère personnel mais aussi de mettre en place des mesures pour gérer les risques liés au traitement des données à caractère personnel (p.ex. technique, administratif, arrangements, etc.).
Pour garder ce registre à jour et s’assurer que l’information est complète et juste, chaque ligne d’activité est chargée de déclarer les processus existants (mais aussi les modifications), ceux à être créés ou supprimés, directement au DPO.
Dans l’article 30 RGPD, le DPO est responsable de la création d’un registre (électronique) du traitement des données à caractère personnel. Ce registre doit inclure, au minimum, les données suivantes :
- Le nom et les coordonnées du : (i) contrôleur de données, (ii) sous-traitant et (iii) contrôleur indépendant, (iv) responsables de traitement conjoints le cas échéant ;
- Les raisons du traitement des données ;
- La description des catégories des personnes concernées et les catégories des données personnelles ;
- Les catégories des destinataires chez qui les données personnelles ont été ou seront envoyées. Ceci inclut également tous les destinataires faisant partie des pays tiers ou des organisations internationales ;
- Si nécessaire, la liste des transferts de données personnelles vers un pays tiers ou une organisation internationale, avec documentation à l’appui ;
- Les données sur les périodes de rétention des données ;
- La description générale des mesures techniques et organisationnelles qui ont été prises.
- La protection des données dès la conception / la protection des données par défaut
ekonoo matérialise la protection des données dès la conception de ses produits et services et inclut toutes les considérations en matière de protection de données, dans la conception d’un nouveau produit ou de nouveaux services et dans tout changement de processus.
La protection des données par défaut signifie que l’Univers ekonoo fait de la protection des données une caractéristique principale. Par conséquent, ceci va définir par défaut tous les paramètres qui limitent le traitement des données personnelles.
ekonoo définit et met en œuvre un ensemble de mesures administratives, techniques, opérationnelles et organisationnelles pour concrétiser les règles incluses dans cette politique et dans chaque procédure liée.
- Analyse d’impact sur la protection des données (Data Protection Impact Assessment – nommée DPIA par la suite)
ekonoo définit et met en oeuvre une méthodologie pour produire les DPIA(s) mais va également définir dans quels cas la DPIA sera nécessaire.
La DPIA est nécessaire lorsque :
- des « nouvelles technologies » sont utilisées pour le traitement d’une activité ;
- le traitement est capable d’exposer les personnes concernées à un risque élevé d’atteinte à leurs droits et libertés. La nature, le champ d’application, le contexte et les raisons du traitement des données doivent être prises en considération.
Les points qui suivent font partie des processus de performance de la DPIA.
Définition des responsabilités :
- Responsable du processus : il est responsable de l’initiation et de l’exécution de la DPIA ;
- DPO : il va coordonner et revoir l’exécution de la DPIA tout en donnant des conseils et en rassemblant les preuves données par les acteurs impliqués ;
- ISO : il sera responsable pour le traitement des mesures de sécurité / contrôles, étant donné l’importance d’avoir une expertise spécialisée sur les mesures de sécurité et de protection des données.
Le processus de la DPIA est divisé en six étapes énumérées ci-dessous :
- Création de : (i) la méthodologie, (ii) la création du formulaire destiné à définir le besoin d’une DPIA et (iii) la création de la DPIA ;
- Remplir le formulaire requis par la DPIA (à moins qu’il y ait un réel besoin d’une DPIA) ;
- Si le formulaire DPIA confirme qu’une DPIA est nécessaire, alors il faudra remplir le formulaire ;
- Évaluation du risque visant à identifier et évaluer l’efficacité des contrôles et mesures techniques et organisationnelles (y compris les mesures de sécurité) qui vont permettre de gérer les risques de protection des données ;
- Traitement et validation du risque visant à identifier les actions nécessaires au cas où l’évaluation du risque résiduel mettrait en évidence une exposition au risque non convenablement gérée ;
- Rapport visant à informer et fournir aux parties prenantes (p.ex. la ligne hiérarchique et le DPO) des preuves d’exécution de la DPIA.
- Notice de protection des données
Toute personne concernée doit avoir un accès facile et clair à une communication expliquant les données personnelles qui sont traitées et les conditions dans lesquelles ces données sont traitées (p.ex. transfert, période de rétention, etc.), quelle que soit la licéité du traitement et ce de manière équitable et transparente.
La notice d’information doit être fournie avant que le traitement des données commence et au moment de la collecte des données personnelles.
L’information doit être présentée de façon concise, claire, facile à comprendre et rendue accessible de façon intuitive. Pour cela, la notice d’information doit utiliser un langage clair et simple (surtout dans les situations où la personne concernée serait un enfant).
ekonoo s’assure que la notice de protection des données inclut toutes les exigences présentées dans les articles 13 et 14 du RGPD.
- Stockage des données personnelles
Toutes les informations concernant les personnes concernées (qui sont soumises à des périodes de conservation) doivent être conservées de manière à permettre leur exploitation et leur utilisation, aux fins des activités de traitement des données pour lesquelles elles ont été collectées. Une fois la période de conservation expirée, ces données seront supprimées ou rendues anonymes.
Pendant la période de conservation, toutes les données (y compris des pièces justificatives) sont stockées dans un endroit sûr afin de les protéger contre tout traitement non-autorisé ou illégal ou encore contre toute perte accidentelle, destruction ou dommage.
Les périodes de conservation sont documentées dans le Registre du traitement des activités (ROPA) tel que décrit dans la section 5.2.
- Utilisation des données personnelles
Les données personnelles ne peuvent pas être utilisées à des fins incompatibles avec celles pour lesquelles elles ont été collectées.
Les accès aux données sont liés au principe du « need to know » (accès limité selon le besoin de savoir) et aux règles définies pour toute demande d’accès et les contrôles établis par l’ISO.
- Suppression des données personnelles
Sur base des principes du respect des périodes de conservation et de traitement licite, les données ne doivent être conservées que dans les cas où leur conservation est licite et fondée sur une finalité définie.
Une fois la période de conservation expirée, ou lorsque le concept de légalité n’est plus présent ou encore parce que l’objectif de collecte est obsolète, les données personnelles doivent être effacées ou rendues anonymes de telle façon à ce que la personne concernée ne soit plus identifiable.
Le principe de limite de conservation doit être appliqué également sur toutes les données présentes dans des documents, dossiers en format papier, les lecteurs de données ou toute autre méthode de conservation.
- Précision des données personnelles
ekonoo s’appuie sur la pertinence des données dans le but de fournir des produits aux clients et à toute personne faisant partie de l’Univers ekonoo.
Pour cette raison, toutes les données doivent être à jour et une cohérence entre les différents systèmes doit être assurée.
En outre, ekonoo doit renforcer la possibilité des personnes concernées à rectifier leurs données afin que celles-ci soient fidèles et représentent la réalité.
- Droits de la personne concernée
Le RGPD définit un ensemble de droits applicables aux personnes concernées.
Pour cette raison, les personnes concernées bénéficient de la possibilité d’appliquer leurs droits dans de nombreux cas. Toutefois, certains droits sont soumis à des limitations dans certains cas.
ekonoo fournit aux personnes concernées* tous les moyens possibles pour qu’ils puissent exercer ces droits, y compris les formulaires et canaux de communication tels que : l’email du DPO, l’adresse postale d’ekonoo et d’autres options qui font partie de l’Univers ekonoo.
[* Une attention particulière doit être accordée aux cas où ekonoo n’est pas le responsable du traitement des données afin d’orienter le demandeur en conséquence.]
Conformément au RGPD, ekonoo dispose d’un mois maximum, à compter de la réception d’une demande, pour fournir une réponse. Il se peut que, dans certains cas, ekonoo ait besoin de plus de temps pour répondre. Si tel est le cas, la personne concernée ou le demandeur doivent être informés du retard, y compris des raisons derrière ce retard et le temps nécessaire avant d’avoir une réponse complète (qui ne pourra pas dépasser la durée de deux mois ou plus).
Lorsque ekonoo doit vérifier l’identité du demandeur ou de la personne concernée, ceci peut être considéré comme une raison pour un éventuel retard et peut aussi dépendre du temps que le demandeur ou la personne concernée pourra prendre à répondre selon certains cas.
A) DROIT D’ACCÈS
La personne concernée a le droit d’obtenir, de la part du contrôleur des données, une confirmation si ses données personnelles sont traitées ou non et, le cas échéant, l’accès à ses données personnelles.
Les évaluations internes et les données soumises au secret professionnel ou encore aux règles de confidentialité, ne sont pas couvertes par ce droit.
B) DROIT DE RECTIFICATION
La personne concernée a le droit de demander qu’ekonoo (quand il agit en tant que responsable du traitement) modifie toutes données inexactes et/ou obsolètes afin que cela représente la réalité et la conformité avec l’article 5 du RGPD.
C) DROIT À L’EFFACEMENT (« DROIT À L’OUBLI »)
La personne concernée peut demander à ekonoo d’effacer ses données personnelles dans les cas où ces données ne sont pas couvertes par une période de conservation.
En général, compte tenu de la nature d’ekonoo (en tant qu’entité supervisée), l’expiration de la période de conservation déclenchera une destruction, la suppression ou l’anonymisation des données.
Si la personne concernée demandait la suppression de ces données, celle-ci devrait être approuvée par le Délégué à la protection des données (DPO), le Chief Compliance Officer, l’Information Security Officer (ISO) et un membre de la Direction autorisée.
D) DROIT À LA LIMITATION DU TRAITEMENT
Les personnes concernées peuvent demander de limiter tout traitement de leurs données personnelles et de ne plus effectuer de modifications lorsque les circonstances suivantes se produisent :
- L’exactitude des données personnelles est contestée ;
- Le traitement des données est considéré comme illicite ;
- Le traitement des données n’est plus nécessaire mais que la personne concernée a besoin de ces données afin d’établir, exercer et défendre ses droits légaux ;
- En attendant de vérifier si l’intérêt légitime l’emporte sur celui de la personne concernée.
E) DROIT À LA PORTABILITÉ DES DONNÉES
Les personnes concernées ont le droit de recevoir des copies de leurs données personnelles dans un format structuré, couramment utilisé, lisible par une machine et de transmettre ces données à un autre contrôleur de données.
Ce droit ne s’applique qu’aux activités de traitement fondées sur le consentement de la personne concernée sur base d’un contrat et effectuée par des moyens automatisés qui couvre les données personnelles de la personne concernée.
F) DROIT D’OPPOSITION
Les personnes concernées peuvent s’opposer au traitement de leurs données personnelles dans les cas suivants :
- Marketing direct (y compris le profilage dans la mesure où il est lié à ce marketing direct) ;
- Traitement basé sur des intérêts légitimes ;
- Traitement à des fins de recherches scientifiques/historiques et statistiques.
Tout autre cas sera noté comme étant non éligible à l’opposition.
G) DÉCISION INDIVIDUELLE AUTOMATISÉE, Y COMPRIS LE PROFILAGE
Les personnes concernées ont le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement des données automatisé, y compris le profilage, sauf lorsque le traitement automatisé est :
- Autorisé par la législation de l’UE ou des États-membres à laquelle le contrôleur de données est soumis ; ou
- Nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le contrôleur des données ; ou
- Basé sur le consentement explicite de la personne concernée ;
- Défini en tant que règle ou règlement applicable au contrôleur des données
- Sécurité des données (informations) personnelles
Le contrôleur de données ou le sous-traitant doivent mettre en place mesures techniques et organisationnelles afin d’assurer un niveau de sécurité qui est approprié au risque, tout en prenant en considération les paramètres suivants :
- Risques de probabilité et de gravité pour les droits et libertés des personnes physiques posés par le traitement des données ;
- L’État de l’art ;
- Coûts de mise en oeuvre ;
- Nature, champ d’application, contexte et finalités du traitement des données ;
- Mesures de sécurité pour la protection des données personnelles considérées comme appropriées à la protection des données, tout en prenant en considération les normes de sécurité internationales et les meilleures pratiques en matière de confidentialité et de protection des données.
Conformément aux normes RGPD, ekonoo doit adopter et mettre en œuvre des mesures de sécurité techniques et organisationnelles considérées comme appropriées pour la protection des données personnelles traitées par ou au nom d’ekonoo.
Les domaines d’application des techniques et des mesures organisationnelles sont reportées ci-dessous :
- Systèmes ;
- Réseaux ;
- Applicatifs ;
- Base de données ;
- Canaux de communication et connexions externes ;
- Points d’accès et de sortie des communications – tels que des lignes de communication, chats et appareils mobiles ;
- Partage de réseau et autres référentiels ;
- Ressources humaines (employés) et organisation ;
- Services cloud et les sous-traitants (avec des limitations incluses dans les exigences de cloud computing applicables au service).
- En général, les règles de conservation de données sera défini par l’ISO d’ekonoo en coordination avec d’autres fonctions et le DPO (lorsqu’il s’agit de traiter des données personnelles).
- Violation de données
En cas de violation de données, il faut remonter l’information au DPO et à l’ISO afin qu’ils puissent créer un groupe d’action spécial chargé de contenir et de gérer l’impact de cette violation.
Ce groupe d’action spécial analysera les conditions sous lesquelles la violation a eu lieu et présentera des suggestions à la Direction autorisée en ce qui concerne les actions compensatoires.
Lorsqu’il le juge approprié, le DPO informera les autorités de protection de données et/ou la personne concernée, selon les cas tels que définis dans la section 9.
- Notification des violations de données
En cas de suspicion, de détention, d’aggravation ou d’apparition d’une violation de données (« Incident »), les étapes suivantes doivent être suivies :
- Informer le DPO et l’ISO selon les cas ;
- Créer un groupe d’action spécial afin d’analyser l’Incident potentiel ;
- Documenter l’analyse ;
- Définir des actions à suivre selon la décision du DPO ;
- Informer la Direction autorisée ;
- Définir les mesures appropriées pour gérer les impacts ;
- Prendre une décision concernant la notification aux autorités de protection des données ;
- Prendre une décision concernant la communication aux personnes concernées ;
- Suivre les mesures telles que définies au point 6 de cette procédure ;
- Faire vérifier par le DPO et rédiger un rapport à la Direction afin de clôturer l’Incident.
- Gestion des violations de données RGPD
Au cas où une violation au RGPD est suspectée, détectée, transmise ou remarquée (« Incident »), les étapes suivantes doivent être suivies :
- Informer le DPO sur l’Incident potentiel ;
- Créer un groupe d’action spécial afin d’analyser l’Incident et l’impact potentiel ;
- Documenter l’analyse ;
- Informer la Direction autorisée ;
- Définir les mesures d’atténuation et de compensation ;
- Prendre une décision concernant la notification aux autorités de protection des données ;
- Faire un suivi des mesures telles que définies au point 5 ;
- Faire vérifier par le DPO et rédiger un rapport à la Direction afin de clôturer l’Incident.
- Contact
ekonoo peut être contacté par les canaux suivants :
- Via les formulaires prévus dans l’Univers ekonoo,
- Par email au DPO : dpo@ekonoo.com,
- Par voie postale à l’adresse suivante : ekonoo S.A. 26, Avenue de Liberté L-1930 Luxembourg.