Mesures prises par l’ALPEM ASBL pour le respect du GDPR.
Entrée en vigueur : le 25 mai 2018.
L’ALPEM respecte le GDPR (Règlement Général sur la Protection des Données à caractère Personnel).
1. Principes du GDPR (art. 5). L’ALPEM respecte les six principes qui fondent le GDPR. Elle accorde aux données à caractère personnel :
- Principe 1 : Un traitement licite, loyal et transparent.
- Principe 2 : Une collecte pour des finalités déterminées, explicites et légitimes.
- Principe 3 : Une minimisation des données. Collecte adéquate, pertinente et limitée aux seules finalités des activités de l’ALPEM.
- Principe 4 : Une exactitude, une tenue à jour et une suppression des données inexactes ou inutiles.
- Principe 5 : Une limitation de conservation n’excédant ni la durée nécessaire à la réalisation des finalités définies ni les normes légales.
- Principe 6 : Intégrité et confidentialité par des mesures techniques et organisationnelles.
2. Formation et conscientisation des collaborateurs de l’ALPEM :
L’ALPEM a désigné son directeur responsable du traitement et responsable de la sécurité des systèmes d’informations. Il a reçu et réussi la formation adéquate pour ces missions. L’ensemble des collaborateurs est conscient de l’enjeu de la protection des données à caractère personnel et formé pour appliquer les procédures décidées en matière de GDPR. Ces procédures sont soumises à un contrôle qualité réalisé par le directeur périodiquement.
3. Licéité du traitement (art. 6) :
Les traitements réalisés par l’ALPEM reposent uniquement sur l’exécution de ses activités commerciales et de ses missions de service public. Ils se limitent à cette stricte nécessité. Aucune autre donnée n’est collectée et celles qui le seraient de manière fortuite sont détruites.
4. Traitement de données sensibles et catégories particulières de données à caractère personnel (art.9) :
Par les différents organes qui la composent, tels que l’Assemblée Générale, le Conseil d’Administration et le Comité pour la Prévention et la Protection au Travail (CPPT), l’ALPEM est amenée à collecter et à traiter des données définies comme « sensibles ». Plus précisément, il s’agit des opinions politiques et syndicales pour les deux premiers organes cités et de l’appartenance syndicale pour le troisième. Ces données sensibles sont nécessaires aux fins d’exécution des obligations légales de l’ALPEM, elle ne collecte et ne traite que celles qui lui sont réglementairement imposées. L’accès à ses données sensibles est sécurisé par des mesures techniques et organisationnelles spécifiques. Notamment un accès limité, contrôlé et sécurisé.
5. Droit des personnes concernées (art. 12 à 22) :
L’ALPEM applique une politique de confidentialité (policy privacy) stricte. Elle définit les données collectées et traitées par l’ALPEM ainsi que les finalités de ces traitements. De plus, elle explicite aux personnes concernées comment exercer leurs droits en matière de vie privée et de données personnelles (Droit d’accès, droit de rectification, droit à l’oubli, droit à la limitation du traitement, droit à la portabilité, droit d’opposition, profilage).
6. Protection des données dès la conception des systèmes d’informations (privacy by design) et par défaut (privacy by default) (art. 25) :
L’ALPEM a mis en oeuvre des mesures techniques et organisationnelles spécifiques et efficientes pour protéger ses systèmes d’informations, en général, et plus spécifiquement les données à caractère personnel qu’elle collecte, traite et préserve. En outre, chaque nouveau projet sera implémenté avec la même finalité de protection.
7. Sous-traitants (art. 28) :
L’ALPEM a recours à des sous-traitants pour le traitement de certaines données à caractère personnel. Cette délégation s’effectue dans le cadre stricte de ses obligations induites par l’exécution de ses activités commerciales et de ses missions de service public (Le traitement des salaires, par exemple). L’ALPEM exige de chacun de ses sous-traitants qu’il réponde au GDPR pour son entrée en vigueur. Elle les en a informés par courrier express. En outre, elle se réserve le droit de vérifier la conformité de ses sous-traitants. C’est-à-dire de s’assurer qu’ils présentent les garanties nécessaires quant à la mise en oeuvre de mesures techniques et organisationnelles qui répondent aux exigences du GDPR et garantissent la protection et les droits des personnes concernées.
8. Registre des traitements (art. 28) :
L’ALPEM a identifié chacun des traitements de données qu’elle réalise. Elle en a réalisé un registre précis et consigné (Cadastre complet + fiche de traitement par fichier). Il consigne le type de données, leur finalité, les accès autorisés, les échanges dont elles peuvent faire l’objet (partenaire et sous-traitants) ainsi que les mesures techniques et organisationnelles qui leurs sont appliquées. Notamment une politique rigoureuse en matière de classement, de conservation et d’archivage.
9. Sécurité des traitements (art. 32) :
L’ALPEM a mis en oeuvre les mesures techniques et organisationnelles adéquates afin de garantir la sécurité, la confidentialité, l’intégrité, l’authenticité, la traçabilité et l’irrévocabilité de ses activités de traitement. Ces mesures s’appliquent tant au données matérielles que digitales et englobent l’organisation, les procédures et les moyens technologiques mis en oeuvre pour la réalisation de ses activités.
10. Violation de données à caractère personnel : notification à « l’Autorité pour la protection des données » et à la personne concernée (art. 33 et 34) :
L’ALPEM a établi parmi ses mesures de protection techniques et organisationnelles des procédures spécifiques en cas de violation de ses systèmes d’informations. En cas de violation, elle est en mesure d’identifier les données à caractère personnel exposées et d’en informer dans les meilleurs délais, et au plus tard dans les 72 heures après en avoir pris connaissance, « l’Autorité pour la protection des données » ainsi que la ou les personnes concernées.
11. Analyse d’impact relative à la protection des données - PIA (art. 35) :
L’ALPEM procédera à une analyse d’impact relative à la protection des données (Privacy Impact Assessment – PIA), selon les dispositions prévues du GDPR.
12. Délégué à la protection des données - DPO (art. 37 à 39) :
- Pour ses activités commerciales et la nature des traitements de données à caractère personnel qu’elle exécute pour cette finalité, L’ALPEM ne doit pas nommer de délégué à la protection des données (Data Privacy Officer – DPO).
- Pour ses missions de service public et le traitement de données à caractère personnel que cette finalité impose, l’ALPEM agit comme sous-traitant de son organisme de tutelle, Le FOREM. Etant responsable du traitement de ces données « publiques », le FOREM a désigné comme DPO Monsieur Dominique GREGOIRE. Il pourra prescrire à l’ALPEM des mesures complémentaires à adopter le cas échéant.
13. Transferts de données à caractère personnel vers des pays tiers hors de l’Union Européenne ou des organisations internationales (art. 44 à 50) :
L’ALPEM ne transfère aucune donnée vers des pays tiers ou des organisations internationales.
14. Voies de recours, responsabilité et sanction (art. 77 à 84) :
L’ALPEM accepte le droit à la réparation et sa responsabilité quant aux traitements de données à caractère personnel qu’elle exécute. Elle s’engage à respecter toutes les dispositions du GDPR et à informer les personnes concernées de leurs droits (droit d’introduire une réclamation auprès d’une autorité de contrôle ; droit à un recours juridictionnel effectif contre une autorité de contrôle, un responsable de traitement ou un sous-traitant ; droit d’être représentée ; suspension d’une action ; droit à réparation ; responsabilité ; amendes et sanctions).