RGPD
Veuillez trouver ci-dessous quelques documents décrivant notre politique RGPD
Charte sur le respect de la vie privée et cookies
Charte sur le respect de la vie privée et cookies
1. Préambule
L’existence d’une charte sur le respect de la vie privée souligne l’engagement de KTN Finance quant à la protection de la vie privée. Cet engagement s’applique à la façon dont KTN Finance collecte, utilise, transfère et conserve les données personnelles de ses clients effectifs ou potentiels.
2. Collecte et utilisation des données à caractère personnel
Les données à caractère personnel sont des données qui permettent d’identifier de manière unique une personne ou de la contacter. Quelles données personnelles collectons-nous ? Lorsqu’une personne nous demande un devis ou un contrat pour un produit d’assurance, s’inscrit à un concours, nous pouvons collecter une série d’informations qui peuvent inclure : nom, prénom, adresse de résidence, domicile légal, numéro de téléphone fixe et portable, date de naissance, adresse électronique. Comment utilisons-nous les données personnelles ? Les données collectées nous permettent de faire bénéficier nos clients des dernières promotions sur nos produits d’assurance, de les informer sur nos produits et services. Elles nous permettent également de développer et d’améliorer nos produits et services, mais aussi de mieux cibler nos publicités. Nous laissons toujours, sur nos formulaires de collecte des données, la possibilité de refuser que les données personnelles soient utilisées à des fins commerciales. Cette possibilité de refus subsiste à tout moment et sans justification. Elles nous permettent aussi d’envoyer des notifications importantes, telles que des contrats, des avis d’échéance, des quittances de paiement mais aussi des modifications contractuelles. Enfin, dans le cadre de la gestion des sinistres, nous utilisons les données personnelles de nos assurés et des parties impliquées, y compris les données des éventuelles victimes, avec discrétion et respect de chacun. Dans la majorité des cas, nous récoltons les données personnelles directement auprès des intéressés.
Il arrive cependant que nous recevions des données transmises par d’autres sociétés ou tiers. Comme pour les autres données personnelles que nous collectons, ces données sont exclusivement utilisées en conformité aux dispositions de la loi sur la protection de la vie privée, à la présente Charte et selon les modalités convenues avec ces tiers. Il est bien entendu que, dans ce cas, aucune action promotionnelle ne pourra être menée sans information préalable des intéressés.
3. Collecte et utilisation des données à caractère non personnel
Nous collectons également des données à caractère non personnel. Il s’agit de données qui ne nous permettent pas de faire un rapprochement direct avec une personne en particulier. Nous pouvons utiliser et transférer des données non personnelles à quelque fin que ce soit. Quelles données non personnelles collectons-nous et comment les utilisons-nous ? Nous collectons des données telles que le métier, le code postal, la langue afin de nous permettre de mieux comprendre le comportement du client et d’améliorer nos produits, services et publicités. Nous collectons également des données sur les activités des clients à travers notre site internet. Ces données nous aident à comprendre quelles parties de notre site sont les plus populaires et à fournir des informations plus utiles à nos clients. Il est à préciser que, si ces données non personnelles sont associées à des données personnelles, elles seront alors traitées comme des données personnelles aussi longtemps qu’elles restent combinées.
4. Utilisation des cookies
Types de cookies utilisés Un cookie est un petit fichier texte stocké sur votre ordinateur ou appareil mobile lorsque vous accédez à un site Web. Ce fichier permet au site Web qui l’a émis de se souvenir de vos préférences de navigation. Nous utilisons deux types de cookies sur le site cape-victoire.be , à savoir : - Les cookies permettant de se souvenir de vos préférences de navigation telles que la langue dans laquelle vous avez consulté notre site lors de votre dernière visite. Ce premier type de cookie n’est actif que lorsque vous visitez le site cape-victoire.be et est supprimé dès fermeture de votre navigateur Internet. Il s’agit de cookies de session. - Les cookies permettant de mémoriser les informations relatives à vos
données signalétiques pour une utilisation lors d’une visite ultérieure de notre site. Ils permettent entre autres de vous garantir un confort de navigation optimum, notamment via le pré-remplissage des formulaires, et de vous afficher des informations et offres personnalisées. Ces cookies, appelés cookies persistants, restent sur votre appareil jusqu’à leur expiration ou jusqu’à leur suppression.
Comment désactiver les cookies ? En désactivant les cookies, il est possible que certaines sections du site cape-victoire.be ne fonctionnent pas correctement. Vous avez la possibilité de désactiver à tout moment le stockage des cookies sur votre ordinateur ou appareil mobile en modifiant les paramètres de confidentialité de votre navigateur Internet. Voici un aperçu de la procédure à suivre sur les navigateurs Internet les plus courants : - Internet Explorer : sélectionnez l’option de menu ‘outils’ puis ‘Supprimer l’historique de navigation’ et cochez la case ‘Cookies’. Pour automatiser ce paramètre, sélectionnez l’option de menu ‘Options Internet’ et cochez la case ‘Supprimer l’historique de navigation en quittant le navigateur’ sous l’onglet ‘Général’. - Mozilla Firefox : sélectionnez l’option de menu ‘outils’ puis ‘Supprimer l’historique récent’ et cochez la case ‘Cookies’. Pour automatiser ce paramètre, sélectionnez l’option de menu ‘Options’ et activez l’option de menu déroulant ‘ne jamais conserver l’historique’ sous l’onglet ‘Vie privée’. - Google Chrome : sélectionnez l’option de menu ‘paramètres’ puis ‘confidentialité’ et cochez la case ‘bloquer les cookies et les données de site tiers’. - Safari : sélectionnez l’option de menu ‘préférences’ puis ‘confidentialité’ et cochez la case ‘Toujours’ de la section ‘bloquer les cookies’. Consultez la rubrique d’aide de votre navigateur Internet pour plus de précisions quant à la suppression des cookies. Limite de responsabilité La responsabilité de KTN Finance est limitée aux cookies émis par le site ktnfinance.be et n’est en aucun cas d’application pour les cookies placés par des sites Web tiers. »
5. Enfants
KTN Finance SPRL respecte le code de conduite Assuralia en matière de marketing à l’égard des jeunes. Aucune publicité pour un produit d’assurance n’est directement adressée aux enfants de moins de 16 ans.
6. Divulgation à des tiers
KTN Finance peut mettre certaines données personnelles à disposition de partenaires, prestataires de services, soustraitants ou préposés, travaillant avec KTN Finance pour la fourniture de services ou pour la commercialisation de ses produits.
Les données personnelles ne sont, en principe, pas partagées avec des tiers à des fins de marketing mais uniquement pour fournir, commercialiser ou améliorer les services ou produits de KTN Finance.
Dans tous les cas, les intéressés seront informés à chaque fois qu’une société tiers demande à utiliser leurs données personnelles à des fins de direct marketing, de manière à ce que les intéressés puissent décider d’accepter ou refuser l’utilisation de leurs données par un tiers. Lorsque nous partageons les données personnelles avec des partenaires et/ou prestataires, KTN Finance exige de ces derniers qu’ils s’engagent à respecter notre charte, à protéger les données et ne les utilisent pas pour leur propre compte. Les services prestés par des tiers peuvent concerner l’envoi de courrier à nos clients, la gestion des données clients, l’évaluation de l’intérêt des clients pour un produit, la réalisation d’enquêtes de satisfaction, … KTN Finance peut également partager les données personnelles avec d’autres sociétés financières en vue de la bonne exécution du contrat ou lorsque l’intérêt du client l’exige, conformément aux dispositions légales. Enfin, KTN Finance pourrait être amenée, en exécution d’une loi, dans le cadre d’une procédure judiciaire ou d’une requête des autorités publiques, à divulguer des données personnelles.
7. Protection des données à caractère personnel
KTN Finance prend des précautions administratives, techniques et physiques, pour protéger les données personnelles contre la perte, le vol, la mauvaise utilisation ainsi que contre l’accès, la divulgation, l’altération et la destruction non autorisés.
8. Intégrité, conservation et accès aux données à caractère personnel
KTN Finance veille à tenir à jour et préserver l’intégrité et l’exactitude des données personnelles en sa possession. Les intéressés peuvent avoir accès à leurs données et les rectifier à tout moment, conformément à la législation en vigueur. La sécurité de nos données, y compris les données clients, est importante pour KTN Finance. Nous nous conformons aux pratiques de sécurité approuvées dans notre secteur d’activité, en ce qui concerne le transfert et le stockage des données. Notre information est hébergée sur des serveurs situés en Europe ; nous ne faisons pas appel à des centres de stockage hors Union européenne.
En ce qui concerne les opérations via Internet, aucune méthode n’est en mesure d’offrir une sécurité absolue, nous nous efforçons cependant d’offrir le niveau de sécurité le meilleur possible dans un cadre commercial.
9. La protection de votre vie privée : un engagement à l’échelle de notre entreprise
KTN Finance, soucieuse de préserver la confidentialité et l’intégrité de ses données, a communiqué le présent engagement à l’ensemble de son personnel. Par ailleurs, un Privacy officer a été désigné dont l’une des missions principales est de veiller à la protection des données personnelles conformément aux exigences légales.
Information RGPD
Chers Clients,
Chers fournisseurs,
A partir du 25 mai 2018, de nouvelles règles relatives à la protection de la vie privée et des données personnelles sont d'application en Europe (mise en conformité selon le RGPD - Règlement Général sur la Protection des Données).
Afin de se soumettre à cette nouvelle législation, KTN Finance a édité une charte sur la vie privée que nous pouvons vous envoyer sur simple demande.
Nos mails et newsletters contiennent toujours des informations qui ont un intérêt légitime pour vous, nous ne devons donc pas vous demander votre consentement explicite dans ce cas-là.
Toutefois si vous ne souhaitez plus recevoir nos newsletters, vous pouvez à tout moment vous désinscrire sans devoir motiver votre décision. Il vous suffit de nous envoyer un e-mail avec désinscription.
Nous vous rappelons toutefois que le droit à l’effacement ou « droit à l’oubli » doit répondre à certaines conditions. Nous pourrons notamment nous y opposer si le traitement des données est nécessaire afin de se conformer aux obligations légales en lien avec l’exécution d’une tâche d’intérêt public ou d’exercice de l’autorité publique"
Pour toute question concernant le traitement de vos données personnelles, n'hésitez pas à prendre contact avec nous par mail à l'adresse: ktn.finance@gmail.com
Les 13 étapes du RGPD www.autoriteprotectiondonnees.be
Merci à l'Autorité de Protection des Données (APD)
Règlement sur la protection des données
Un nouveau vent, pas un ouragan !
La nouvelle loi vie privée européenne - le "Règlement général sur la protection des données" (ou RGPD) - qui sera d'application le 25 mai 2018, constitue une opportunité pour les entreprises de réfléchir à la manière dont elles conservent les données, dont elles les utilisent et à ce qu'il en est de la protection de celles-ci. Au besoin, la politique de protection des données qui est appliquée doit être adaptée afin de satisfaire à la nouvelle législation. Pour les entreprises et les organisations, optimaliser leur gestion des données constitue donc un exercice pertinent.
Pourquoi la nouvelle législation en matière de protection de la vie privée est-elle nécessaire ?
La nouvelle législation en matière de protection de la vie privée est basée sur la législation existante mais apporte sur certains points une amélioration ou un approfondissement. De manière générale, vous devez avoir une attitude raisonnable quant au traitement de données à caractère personnel.
La manière dont vous vous y prenez relève de la responsabilité de votre entreprise/organisation. Vous avez à cet égard une responsabilité. Cela implique qu'en tant qu'organisation, vous devez pouvoir démontrer quelles actions techniques et organisationnelles vous avez entreprises pour satisfaire à la nouvelle législation en matière de protection de la vie privée. Pourquoi la nouvelle législation en matière de protection de la vie privée est-elle nécessaire ?
▶ Besoin d'une harmonisation des législations nationales en matière de protection de la vie privée au sein de l'Europe
▶ Adaptation des règles à la nouvelle réalité numérique
▶ Offrir au citoyen plus de contrôle sur ses données
Quels sont les avantages de la nouvelle législation ?
Dès que la nouvelle législation en matière de protection de la vie privée sera d'application, il n'y aura plus qu'une seule loi vie privée applicable au sein de l'Union européenne, au lieu de 28 lois nationales différentes.
Pour les entreprises et les organisations qui sont actives dans plusieurs États membres de l'Union européenne, cela signifie :
▶ moins de charges et de coûts administratifs
▶ plus de sécurité juridique
▶ une obligation de documentation à remplir librement
▶ les mêmes règles pour tout le monde, aussi à l'étranger, ce qui favorise la concurrence loyale au sein de l'Union européenne
▶ un traitement plus facile des données au-delà des frontières
▶ 1 autorité de contrôle compétente
▶ une économie globale pour les entreprises de 2,3 milliards d'euros par an.
Pourquoi ne pouvons-nous pas encore répondre à toutes les questions ?
L'interprétation et la mise en œuvre de la nouvelle législation en matière de protection de la vie privée est un “work in progress”. Bien que la Commission vie privée souhaite vous informer au mieux, nous ne pouvons actuellement pas encore répondre à toutes les questions
Nous ne pouvons répondre à toutes les questions en raison de la concertation commune entre tous les contrôleurs européens, des travaux encore en cours pour la loi-cadre nationale et la loi de réforme organique et des applications encore inconnues de la loi dans la pratique. Les entreprises et organisations sont donc invitées à suivre de près le site Internet de la Commission vie privée pour les mises à jour les plus récentes.
Règlement Général sur la Protection des Données
Conscientisation
Veillez à ce que les personnes clés et les décideurs de votre entreprise ou organisation soient informé(e)s de la réglementation.
Ils doivent en évaluer les conséquences et désigner les domaines qui peuvent aujourd’hui être problématiques à la lumière du RGPD. Si votre entreprise ou organisation dispose d’un registre des risques, il peut constituer un excellent point de départ. La mise en oeuvre du RGPD peut avoir une influence considérable sur les moyens disponibles, surtout en ce qui concerne les entreprises ou structures de plus grande taille ou plus complexes. Vérifiez s’il existe des modèles pour votre secteur ou si des codes de conduite ont été développés par les associations sectorielles.
Registre des activités de traitement
Faites l’inventaire minutieux des données à caractère personnel que vous conservez, notez quelle est leur provenance et les personnes avec lesquelles vous les avez partagées.
Il serait intéressant d’enregistrer tous vos traitements. Vous devez éventuellement organiser un audit d’information à cet effet. Ceci s’applique éventuellement à toute l’entreprise ou uniquement à certaines sections déterminées. Le nouveau règlement attribue aux personnes concernées un certain nombre de droits, spécifiquement adaptés au monde des réseaux. Lors-que votre entreprise conserve par exemple des données à caractère personnel inexactes et les a partagées avec d’autres organisations, vous devrez informer ces dernières de l’inexactitude afin qu’elles puissent apporter les corrections dans leurs propres données. Cette ,obligation de documentation contribue en outre au respect de l’exigence de responsabilité contenue dans le RGPD. Selon ce principe, une entreprise ou une organisation doit prouver qu’elle agit conformément aux principes de protection des données. Pour vous y aider, la Commission vie privée met à disposition sur son site Internet un modèle de registre des activités de traitement avec un manuel y afférent.
Délégué à la protection des données
Désignez au besoin un délégué à la protection des données ou une personne qui est responsable du respect des règles de protection des données. Évaluez la place que cette personne occupe au sein de la structure et de la politique de votre entreprise ou organisation.
Le nouveau règlement requiert pour certaines entreprises et organisations qu’elles désignent un délégué à la protection des données, par exemple pour les autorités publiques ou les sous-traitants dont la tâche consiste à observer régulièrement et systématiquement des personnes concernées, ce à grande échelle. Il est important que soit une personne de l’organisation, soit un conseiller externe soit responsable du respect des principes de protection des données et qu’une personne ait les connaissances, l’implication et la compétence de le faire. Vous devez dès lors juger dès à présent si votre entreprise ou organisation a l’obligation de désigner un tel délégué. Dans l’affirmative, évaluez si l’approche actuelle correspond aux exigences du RGPD.
Communication
Évaluez votre déclaration de confidentialité existante et analysez-la à la lumière du nouveau règlement. Si votre entreprise ou organisation traite des données à caractère personnel, vous devez fournir certaines informations aux personnes concernées, comme l’identité du sous-traitant et la manière dont il utilisera les données. Ces informations sont généralement communiquées sous la forme d’une déclaration de confidentialité. Le nouveaurèglement pose des exigences quant au contenu de cette déclaration de confidentialité. Il faudra ainsi communiquer le fondement légal du traitement de données et les délais pendant lesquels vous conserverez les informations, préciser si vous échangez les données en dehors de l’Union européenne et prévoir la possibilité pour la personne concernée de porter plainte auprès de l’autorité de contrôle si elle estime que ses données à caractère personnel sont traitées à tort. Le RGPD requiert que ces informations soient communiquées de manière concise, dans une langue compréhensible et claire.
Droits de la personne concernée
Vous devez vérifier si les procédures dans votre entreprise ou organisation prévoient tous les droits que la personne concernée peut invoquer, y compris la manière dont les données à caractère personnel peuvent être supprimées ou dont les données seront communiquées par voie électronique.
Le nouveau règlement prévoit notamment les droits suivants pour la personne concernée :
• information et accès aux données à caractère personnel ;
• rectification et suppression des données ;
• objection à l’encontre de pratiques de marketing direct ;
• objection à l’encontre de prises de décision automatisées et de profilage ;
• portabilité des données.
Prévoyez des feuilles de route qui détaillent comment faire lors-que quelqu’un veut exercer son droit. Qui prendra la décision ? Les systèmes sont-ils conçus pour y répondre ? Le droit à la portabilité des données requiert une attention particulière. Il s’agit d’un renforcement de l’accès où la personne concernée a le droit d’obtenir les données à caractère personnel la concernant dans un format structuré, couramment utilisé et lisible électroniquement. La plupart des entreprises et organisations le faisaient déjà, mais sachez que des impressions papier ou une forme électronique inhabituelle ne suffisent pas pour le nouveau règlement. Vous recourez à des décisions individuelles automatisées ? Vous devez alors connaître les règles spécifiques qui s’y appliquent en vertu du nouveau règlement.
Demande d'accès
Réfléchissez à la manière dont vous traiterez les demandes d’accès eu égard aux délais du nouveau règlement et prévoyez éventuellement une mise à jour de vos procédures d’accès existantes.
Le nouveau règlement définit la manière de traiter les demandes d’accès. Dans la plupart des cas, il faut donner suite à la demande d’accès dans les 30 jours, et ce gratuitement. Des demandes manifestement non fondées ou excessives peuvent être facturées ou refusées. Si votre entreprise ou organisation veut être en mesure de refuser des demandes d’accès, vous devez disposer à cet effet d’une politique et de procédures adaptées. Vous devez fournir à la personne concernée qui demande l’accès certaines informations complémentaires comme les délais de conservation des informations et l’existence du droit de faire rectifier des données inexactes. Si votre entreprise ou organisation traite un grand nombre de demandes d’accès, il est crucial de disposer d’une bonne feuille de route. Il faut qu’au niveau logistique, toutes les demandes puissent être traitées dans le délai prévu et que la personne concernée reçoive les informations nécessaires. Une réflexion approfondie doit être menée à ce sujet. À terme, il peut se révéler rentable de développer un système grâce auquel la personne concernée peut consulter elle-même les données en ligne. Les entreprises et organisations sont encouragées à réaliser une analyse coûts/bénéfices d’un tel système d’accès en ligne.
Fondement légal pour le traitement de données à caractère personnel
Documentez les différents types de traitements de données que vous effectuez et identifiez le fondement légal pour chacun d’entre eux.
Vous devez choisir parmi les fondements énoncés dans le nouveau règlement, mais faites attention à la différence entre données “ordinaires” et données “particulières”. En vertu du nouveaurèglement, les droits de la personne concernée peuvent différer selon la base légale du traitement de données. L’exemple le plus parlant est le fait que la personne concernée dispose d’un droit renforcé pour demander la suppression de ses données si son consentement était à la base du traitement. Il est important de préciser dans la déclaration de confidentialité le fondement légal qui a été choisi pour le traitement de données et d’indiquer également ce fondement chaque fois que l’on répond à une demande d’accès. Vérifiez donc quels traitements de données vous effectuez, déterminez la base légale et documentez vos démarches avec soin, à la lumière de l’exigence de responsabilité.
Consentement
Évaluez la manière dont vous demandez, obtenez et enregistrez le consentement. Le nouveau règlement mentionne les termes “consentement” et “consentement explicite”.
Il n’est pas nécessaire de faire la distinction, étant donné que le consentement doit dans les deux cas être libre, spécifique, éclairé et univoque. Le consentement doit également se révéler par une manifestation active de l’accord. En d’autres termes, le consentement ne peut pas être déduit tacitement ou à partir d’une case cochée préalablement ou d’une absence d’action. Si vous comptez sur le consentement de la personne concernée pour traiter ses données, veillez surtout à ce que ce consentement réponde aux exigences du nouveau règlement. Notez que le consentement doit être contrôlable et que la personne concernée a généralement davantage de droits lorsque vous comptez sur le consentement comme fondement du traitement de données. Le nouveau règlement précise que le responsable du traitement doit être en mesure de démontrer que le consentement a été donné. Évaluez donc vos systèmes qui enregistrent le consentement, afin d’assurer une piste d’audit efficace.
Enfants
Dans un seul contexte déterminé, le RGPD permet aux enfants à partir de 16 ans de donner eux-mêmes leur consentement pour le traitement de données, à savoir dans le contexte des services Internet commerciaux qui s’adressent directement aux enfants.
Attention – le législateur belge peut accorder le même privilège au groupe des 13-16 ans – suivez les informations de la Commission vie privée. Notez que les enfants qui ont donné eux-mêmes leur consentement peuvent exiger que leurs données soient effacées à tout moment, y compris après avoir atteint leur majorité ! Vérifiez si vous traitez des données de mineurs et si vous devez vérifier l’âge de la personne concernée. Vérifiez comment vous pouvez contacter le ou les parents ou le ou les tuteurs, par exemple pour demander le consentement ou pour conclur e un contrat. Si votre entreprise ou organisation collecte des données d’enfants, tenez compte du rôle que jouent leurs parents ou tuteurs ! Retenez que le consentement doit être contrôlable et que le cas échéant, la déclaration de confidentialité doit être rédigée en des termes compréhensibles pour les enfants.
Fuites de données
Prévoyez des procédures adéquates pour détecter, rapporter et analyser des fuites de données à caractère personnel. Évaluez pour ce faire les différents types de données à caractère personnel que vous conservez et documentez celles qui relèveraient de l’obligation de déclaration si une fuite de données survenait.
Dans certains cas, vous devez informer directement la personne concernée faisant l’objet de la fuite de données, par exemple lorsque la fuite peut donner lieu à des pertes financières personnelles. Les plus grandes entreprises ou organisations devront élaborer une politique et des procédures pour gérer les fuites de données – soit au niveau central, soit au niveau local. Toutes les fuites de données ne devront pas être signalées à l’autorité de contrôle – uniquement celles pour lesquelles il est probable que la personne concernée subira une quelconque forme de dommages, par exemple suite à un vol d’identité ou à la violation d’une obligation de secret. Notez que le non-respect de l’obligation de déclaration peut donner lieu à une amende, en sus de l’amende pour la fuite de données elle-même.
La protection des données dès la conception et l'analyse d'impact relative à la protection des données (AIPD)
Familiarisez-vous avec les notions de “protection des données dès la conception” et d’ “analyse d’impact relative à la protection des données”, mieux connues sous les termes suivants : “Privacy by design” et “Data Protection Impact Assessment (DPIA)”.
Examinez la manière dont vous pouvez mettre en oeuvre ces concepts dans le fonctionnement de votre entreprise ou organisation. Ils peuvent être liés à d’autres processus organisationnels tels que la gestion des risques et la gestion des projets. Évaluez les situations où il est nécessaire de réaliser de telles analyses. Qui s’en chargera ? Qui doit y être associé ? L’analyse se fera-t-elle de manière centrale ou de manière locale ? Intégrer d’emblée la protection des données et, dans ce cadre, réaliser une analyse d’impact a toujours fait partie des “bonnes pratiques” d’une entreprise ou organisation. Le nouveau règlement en fait une exigence légale claire. À noter que vous ne devez pas systématiquement réaliser une analyse d’impact. Celle-ci n’est requise que dans des situations à haut risque, par exemple lorsqu’une nouvelle technologie est mise en oeuvre ou lorsqu’une opération de profilage peut entraîner des effets considérables pour les personnes concernées. Lorsque l’AIPD indique que le traitement de données comporte un “risque élevé”, et ce en dépit de mesures prises pour maîtriser le “risque élevé” (autrement dit il y a un “risque élevé résiduel”), il est nécessaire d’obtenir l’avis de la Commission vie privée quant à la licéité du traitement à la lumière du nouveau règlement.
International
Si votre entreprise ou organisation est active au niveau international, vous devez déterminer de quelle autorité de contrôle vous relevez.
Le nouveau règlement prévoit un règlement quelque peu complexe pour déterminer quelle autorité de contrôle prend la direction des opérations lors de l’examen d’une plainte à caractère international, par exemple lorsqu’un traitement de données se rapporte à des résidents de plusieurs États membres. L’autorité chef de file est déterminée selon l’endroit où l’entreprise ou l’organisation a son établissement principal ou selon l’établissement où sont prises les décisions relatives aux traitements de données. Pour un siège principal traditionnel, on peut le déterminer assez facilement. Cela se complique dans le cas d’entreprises ou d’organisations complexes, implantées sur plusieurs sites, où les décisions relatives à différentes activités de traitement sont prises à divers endroits. Pour savoir clairement quelle autorité de contrôle est en charge de votre entreprise ou organisation, il est conseillé d’établir à quel endroit votre organisation prend ses décisions les plus importantes quant aux traitements de données. Cela vous permettra de déterminer votre “établissement principal” et donc aussi l’autorité de contrôle compétente.
Contrats existants
Évaluez vos contrats existants, principalement avec des sous-traitants, et apportez des changements au besoin. Le RGPD crée un système intelligent qui établit le rapport entre le responsable du traitement et les sous-traitants.
Il détermine même les conditions qui s’appliquent aux activités de sous-traitance. Pour approfondir ces conditions, vous devez évaluer les contrats existants et apporter les modifications nécessaires. Le nouveau règlement souligne l’importance des mesures de sécurité applicables aux banques de données. En cas d’outsourcing, il est également important d’évaluer si les mesures de sécurité qui étaient prévues dans les contrats existants sont toujours adéquates et répondent aux exigences du nouveau règlement.
Politique et engagement en cas de violation de données à caractère personnel
Comment réagir en cas de violation de données personnelles ?
Le Règlement Général relatif à la Protection des Données à caractère personnel (RGPD) fait obligation à tous les responsables de traitement de notifier les violations de données personnelles.
KTN Finance, Faouzi Koudad,
Nous nous engageons à réagir de la même façon lors d'une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données » (RGPD art. 412).
Ainsi, au-delà d’un classique piratage de données personnelles, une violation est constituée par toute action négative, involontaire et non contrôlée portant sur de telles données. En cas de violation de données à caractère personnel, nous notifierons a minima l'APD, parfois l'APD et les personnes impactées par la violation lorsque la situation présente un risque élevé.
Dans tous les cas, la violation sera consignée et documentée dans un registre interne à l’entreprise (faits constatés, mesures de protection mises en œuvre et justifications afférentes).
Les notifications à l'APD seront effectuées le plus rapidement possible, en tout état de cause sous 72 heures.
Nous sommes conscients que nous devrons à chaque fois notifier les personnes concernées. Nous ne pourrions y échapper que si nous mettons en place des mesures de protection techniques et organisationnelles appropriées, que si nous prenons des mesures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser ou si une telle notification entraînerait des efforts disproportionnés.
L'APD peut avoir une interprétation différente. Nous devrons donc toujours pouvoir justifier que notre choix s’inscrit dans le cadre de ces exceptions.
Compte tenu des sanctions applicables en cas de manquement à l’obligation de notification (10 M€ ou 2 % du CA), nous prévoyons une procédure en amont permettant de gérer cette crise et nous documentons nos choix quant au type de notification adopté.
Faouzi Koudad
Lu et approuvé *
* Document officiel signé disponible en nos bureaux.