Error
xxx
Données personnelles
NL  |  FR
Données personnelles
NOTE DE POLITIQUE SUR LE TRAITEMENT ET LA PROTECTION DES DONNEES

1 Objectif
La présente note de politique décrit la façon dont PensioPlus gère les données à caractère personnel et veille à la protection de ces données à caractère personnel.

Elle a été établie afin de garantir le respect du Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données (RGPD ou GDPR)), ainsi que de la législation et de la réglementation belges applicables en matière de protection des données.

Elle ne vise pas à prévoir une protection plus étendue que celle qui est requise par la législation applicable en matière de protection des données.
2 Champ d'application
PensioPlus traite des données à caractère personnel dans le cadre de :
  • la gestion de ses membres ;
  • la gestion de son personnel ;
  • la gestion de ses contacts du réseau.

La présente note de politique a, d’une part, été établie afin de donner aux personnes concernées (membres, membres du personnel et contacts du réseau) un aperçu de la politique de protection des données menée par PensioPlus. D’autre part, il s’agit aussi d’un instrument important pour toute personne chargée du traitement de données à caractère personnel ou y ayant accès dans l’exercice de sa fonction chez PensioPlus.
3 Définitions
« Travailleurs » : les membres du personnel de PensioPlus.

« Membres » : les personnes qui ont introduit une demande d’affiliation auprès de PensioPlus et qui ont été acceptées comme membres par PensioPlus ; dans le cas de personnes morales, ce terme inclut également les personnes de contact des membres.

« Contacts du réseau » : les personnes physiques avec lesquelles PensioPlus a, d'une manière ou d’une autre, des contacts dans le cadre de son objet social, p. ex. pour le lobbying, l’organisation de séances d’information, l’organisation de groupes de travail, les contacts avec des parties prenantes..., et dont elle garde dans ce cadre un nombre limité de données à caractère personnel (comme le nom et les coordonnées).

« PensioPlus » : l’association sans but lucratif, fondée en 1975 sous le nom d’« Association belge des Institutions de pension », qui réunit les institutions de retraite professionnelle (IRP) et les organisateurs d'un plan de pension complémentaire sectoriel, dont le nom a été changé en PensioPlus en 2015.

L’« Espace économique européen (« EEE ») » comprend actuellement les pays suivants : Allemagne, Autriche, Belgique, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Islande, Italie, Lettonie, Liechtenstein, Lituanie, Luxembourg, Malte, Norvège, Pays-Bas, Pologne, Portugal, Roumanie, Slovaquie, Slovénie, République tchèque, Royaume-Uni, Suède.

« Utilisateurs autorisés » : les personnes qui sont autorisées dans le cadre de l'exercice de leur fonction auprès de PensioPlus à traiter des données à caractère personnel. Il s’agit ici notamment des membres du personnel de PensioPlus.

Les « Données à caractère personnel sensibles » sont des données à caractère personnel qui révèlent les données suivantes :
  • l’origine raciale ou ethnique ;
  • les opinions politiques ;
  • les convictions religieuses ou philosophiques ;
  • l’appartenance syndicale ;
  • les données concernant la santé ou la vie sexuelle ;
  • les données relatives à des condamnations pénales et à des infractions, ou à des mesures de sûreté connexes.

« Violation » : « violation de données à caractère personnel », ce que le RGPD définit comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre marnière, ou l’accès non autorisé à de telles données.

-Les « données à caractère personnel » comprennent toutes les informations se rapportant à une personne physique identifiée ou identifiable. Dans le cadre de l’exécution d’un contrat (de travail) et/ou de la poursuite d’intérêts légitimes, il est question des données à caractère personnel des travailleurs, des membres et des contacts du réseau.

« Sous-traitant » : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte de PensioPlus.

Le « Traitement » est défini dans le RGPD comme « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ». Il s’agit par conséquent d’une acception large du ‘traitement’.

« Responsable du traitement » : la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. PensioPlus agit en qualité de responsable du traitement pour les activités de traitement qu’elle exerce.

« Législation et réglementation en matière de protection des données » : le Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données (RGPD ou GDPR)), ainsi que la législation et la réglementation belges et européennes applicables en matière de protection des données.
4 Principes relatifs au traitement de données à caractère personnel
PensioPlus respecte la vie privée de ses travailleurs, de ses membres et de ses contacts du réseau dont les données à caractère personnel sont traitées dans le cadre de la gestion du personnel, de la gestion des membres et de la gestion des contacts du réseau. PensioPlus s’engage à protéger leurs données à caractère personnel conformément au RGPD et à la législation et à la réglementation en matière de protection des données.

PensioPlus respecte dans ce cadre notamment les principes suivants :

Traitement licite des données - PensioPlus traite les données à caractère personnel d'une manière licite dans le cadre de la gestion du personnel et de la gestion des membres (exécution du contrat conclu avec les travailleurs ou les membres), d’une part, et dans le cadre de la gestion des contacts du réseau (intérêts légitimes), d’autre part.

Finalités et limitation des finalités - PensioPlus traite les données à caractère personnel pour les finalités légitimes suivantes : la gestion des membres, la gestion du personnel et/ou la gestion des contacts du réseau.

Traitement minimal des données - PensioPlus limite le traitement des données à caractère personnel à ce qui est nécessaire dans le cadre de la gestion des membres, de la gestion du personnel et/ou de la gestion des contacts du réseau.

Exactitude des données à caractère personnel - PensioPlus prend toutes les mesures raisonnables pour veiller à ce que les données à caractère personnel soient exactes et à ce qu’elles soient rectifiées et/ou effacées sur-le-champ dès qu’elles ne semblent plus exactes.

Limitation du traitement et conservation - PensioPlus ne traite, ni ne conserve les données à caractère personnel plus longtemps que nécessaire pour les finalités susvisées.

Mesures de sécurité - PensioPlus prend des mesures techniques et/ou organisationnelles appropriées pour garantir la sécurité des données à caractère personnel des travailleurs, des membres et des contacts du réseau et pour éviter une violation et/ou une fuite d’informations (comme l’accès non autorisé, le traitement non autorisé ou illicite et la perte, la destruction ou les dégâts d’origine accidentelle des données à caractère personnel). Ces mesures sont évaluées régulièrement et, si nécessaire, actualisées. En cas de violation et/ou de fuite d’informations, telles que visées ci-dessus, PensioPlus prend des mesures appropriées afin d’en déterminer l’ampleur et les conséquences, d’y remédier le plus vite possible et, le cas échéant, d’en limiter l'impact pour les travailleurs, les membres et les contacts du réseau (voir plus loin - point 13).
5 Catégories de données à caractère personnel traitées
5.1 Travailleurs

Les données à caractère personnel relatives aux travailleurs comprennent les données suivantes, qui sont limitées aux données spécifiques nécessaires à la gestion et à l’exécution du contrat de travail, ainsi qu’à la gestion du personnel :

  • Prénom et nom ;
  • Adresse privée ;
  • Numéro de compte ;
  • Données salariales au sens le plus large du terme ;
  • Données de carrière ;
  • Enregistrement du temps et enregistrement des présences.

5.2 Membres

Les données à caractère personnel relatives aux membres comprennent les données suivantes, qui sont limitées aux données spécifiques nécessaires à la gestion et à l’exécution du contrat, ainsi qu’à la gestion des membres :

  • Prénom et nom ;
  • Sexe ;
  • Numéro de téléphone professionnel et numéro de GSM ;
  • Adresse e-mail professionnelle ;
  • Langue ;
  • Entreprise ou institution pour laquelle le membre travaille ou qu'il représente.

5.3 Contacts du réseau

Les données à caractère personnel relatives aux contacts du réseau comprennent les données suivantes, qui sont limitées aux données spécifiques nécessaires à la poursuite des intérêts légitimes et à la gestion des contacts du réseau :

  • Prénom et nom ;
  • Numéro de téléphone professionnel et numéro de GSM ;
  • Adresse e-mail professionnelle ;
  • Langue ;
  • Entreprise/institution/organisation.

5.4 Données à caractère personnel sensibles

PensioPlus peut, si nécessaire dans le cadre de la gestion du personnel, traiter des données à caractère personnel sensibles (comme p. ex. des périodes d’incapacité de travail).
6 Finalités du traitement de données à caractère personnel
6.1 Travailleurs

PensioPlus traite les données à caractère personnel des travailleurs, sous forme électronique ou automatisée ou non, à des fins légitimes dans le cadre des ressources humaines, à des fins professionnelles et dans le cadre de la sécurité. Ces finalités comprennent, mais sans s’y limiter :

  • le respect de toutes les obligations légales, réglementaires et administratives, ainsi que l'application des réglementations fiscales et du travail ;
  • l’administration du personnel, y compris l’administration des salaires et des avantages, la gestion et l’exécution des contrats d’assurance groupe, d'assurance maladie ou d'assurance hospitalisation, ou tout autre système d’indemnisation, et le remboursement des frais ;
  • l’enregistrement du temps et l’enregistrement des présences ;
  • la gestion du personnel et la mise en œuvre de la politique du personnel de PensioPlus, y compris les évaluations du personnel, la formation, à l'aide ou non de logiciels pour ces finalités ;
  • la planification du travail, sur le plan tant administratif qu’organisationnel ;
  • la gestion et la planification de voyages d’affaires ;
  • la gestion de la communication aux travailleurs et des relations avec les travailleurs ;
  • la formation ;
  • la gestion des effectifs ;
  • la gestion de la procédure de résiliation de la relation de travail ;
  • la conduite d’enquêtes disciplinaires ;
  • la gestion des plaintes et des réclamations des travailleurs ;
  • la gestion des questions d’audit et de conformité ;
  • le contrôle du respect de la politique de PensioPlus, y compris, mais sans s’y limiter : le règlement de travail ; la car policy, l’assurance hospitalisation, l’assurance groupe ;
  • la gestion des contrôles d'accès (plus spécifiquement le bâtiment, y compris le parking), ainsi que la gestion des appels téléphoniques, du parc automobile, des téléphones mobiles et du réseau informatique.


6.2 Membres

PensioPlus traite les données à caractère personnel des membres, sous forme électronique ou automatisée ou non, uniquement à des fins légitimes dans le cadre de la gestion des membres. Ces finalités peuvent notamment comprendre, mais sans s’y limiter :
- l’envoi d'invitations à des séminaires, des séances d’info, des déjeuners-causeries, des réunions d’organes d’administration, des groupes de travail et d’autres activités organisées par PensioPlus ;
- l’envoi d'actualités.

6.3 Contacts du réseau

PensioPlus traite les données à caractère personnel des contacts du réseau, uniquement à des fins légitimes dans le cadre de la gestion des contacts du réseau. Ces finalités peuvent notamment comprendre, mais sans s’y limiter :
  • l’organisation d’activités de lobbying dans le cadre de l'objet social de PensioPlus ;
  • l'organisation de séances d’information, de déjeuners-causeries, de réunions des organes d’administration, de groupes de travail... et d’autres activités organisées par PensioPlus ;
  • les données à caractère personnel ne sont plus traitées par PensioPlus d’une manière incompatible avec les finalités visées aux points 6.1, 6.2 et 6.3.
7 Sécurité/confidentialité

PensioPlus s’engage à prendre des mesures techniques et organisationnelles appropriées, compte tenu des risques liés au traitement de données, à protéger les données à caractère personnel contre l’accès non autorisé, le traitement illicite, la perte ou la détérioration accidentelle et la destruction non autorisée.

7.1 Appareils et sécurité des informations

Pour éviter l’accès non autorisé aux données à caractère personnel par des tiers, toutes les données à caractère personnel électroniques détenues par PensioPlus sont conservées dans des systèmes qui sont protégés par une architecture de réseau actualisée, sûre et équipée de pare-feux et de dispositifs de détection d’intrusion. Les données stockées sur les serveurs sont « sauvegardées », ce qui permet d’éviter les conséquences de toute suppression, destruction ou perte accidentelle. Les serveurs se trouvent dans des établissements à degré élevé de sécurité, où l'accès est interdit aux personnes non autorisées.

PensioPlus collabore pour ce faire avec des fournisseurs ICT qui offrent les garanties de sécurité nécessaires (comme un certificat de classe ISO 27000).

7.2 Sécurité de l’accès

PensioPlus estime que la sécurité des données à caractère personnel qui sont collectées, conservées et traitées dans le cadre de la gestion des membres, de la gestion du personnel et de la gestion des contacts du réseau est d'une importance capitale. Ils s'engagent à préserver l’intégrité des données à caractère personnel et à éviter l’accès non autorisé à celles-ci.

Des mesures appropriées sont prises afin d’éviter la fraude aux données, d’empêcher l’accès inconnu et non autorisé aux systèmes informatiques et aux informations, et d’offrir la protection appropriée aux données à caractère personnel détenues par PensioPlus. L’accès aux bases de données automatisées est contrôlé par des données de connexion et requiert l’identification par un mot de passe avant l'octroi de l'accès. Les utilisateurs autorisés n’ont accès aux données que dans la mesure du nécessaire pour exercer leur fonction.

Les aspects liés à la sécurité du logiciel et des procédures visent à protéger les données à caractère personnel contre la perte, l’abus, et l’accès, la fourniture, la modification ou la destruction non autorisée.

7.3 Formation

PensioPlus veille à ce que des formations appropriées soient organisées pour les utilisateurs autorisés concernant e. a. : les finalités légitimes pour traiter les données à caractère personnel, la nécessité de disposer de données correctes et actualisées, l’obligation de traiter en toute confidentialité les données à caractère personnel auxquelles les utilisateurs autorisés ont accès, les procédures à suivre en cas de violations (éventuelles) de données à caractère personnel...

Les utilisateurs autorisés s’engageront à respecter la confidentialité des données à caractère personnel, ainsi que la présente note de politique. PensioPlus prendra des mesures appropriées conformément à la législation et à la réglementation en matière de protection des données si des données à caractère personnel ont été consultées, traitées ou utilisées d’une manière contraire aux exigences de la présente note de politique.

7.4 Instructions générales

Tous les utilisateurs autorisés sont tenus de faire le nécessaire pour respecter la présente note de politique afin que PensioPlus satisfasse à la législation et à la réglementation en matière de protection des données en sa qualité de responsable du traitement. PensioPlus s’engage à protéger les données à caractère personnel des travailleurs, des membres et des contacts du réseau lors de leur utilisation ou de leur traitement. Par conséquent, les utilisateurs autorisés doivent reconnaître l’importance d’un traitement correct et licite des données à caractère personnel, et gérer ces données avec énormément de prudence, notamment par le respect strict de la présente note de politique.

Au plus tard au moment où les utilisateurs autorisés ont pour la première fois accès aux données à caractère personnel et l’autorisation de les traiter selon les instructions de PensioPlus, ils reçoivent la présente note de politique, qui leur est expliquée plus en détail. Ils n’auront accès aux données à caractère personnel et à l'autorisation précitée de traitement des données à caractère personnel qu'après s'être engagés à traiter les données à caractère personnel en toute confidentialité et à respecter la présente note de politique.
8 Fourniture d’informations sur le traitement de données
Chaque travailleur, membre ou contact du réseau a le droit d’obtenir des informations sur la nature de ses données à caractère personnel qui sont traitées et conservées. Ces informations sont fournies de la manière suivante.

8.1 Travailleurs

Au moment de son entrée en service chez PensioPlus, tout travailleur recevra via un « avis de confidentialité destiné aux travailleurs » les informations légalement requises concernant le traitement de données, comme notamment :

  • les données de PensioPlus ;
  • les finalités du traitement pour lesquelles leurs données à caractère personnel sont traitées ;
  • les fondements juridiques du traitement ;
  • les éventuels tiers qui sont ou peuvent être impliqués dans les activités de PensioPlus et qui peuvent dans ce cadre aussi traiter des données à caractère personnel (sous-traitants) et/ou recevoir des données à caractère personnel (destinataires) ;
  • les règles relatives à la période au cours de laquelle les données à caractère personnel seront traitées et/ou stockées (durée) ;
  • la possibilité d’introduire une réclamation auprès de l’autorité de protection des données ;
  • les droits des travailleurs en ce qui concerne l'accès, la rectification, l’effacement, la limitation et le transfert des données à caractère personnel.

8.2 Membres

Au moment où une personne devient membre de PensioPlus, elle recevra via un « avis de confidentialité destiné aux membres » les informations légalement requises concernant le traitement de données, comme notamment :

  • les données de PensioPlus ;
  • les finalités du traitement pour lesquelles les données sont traitées ;
  • les fondements juridiques du traitement ;
  • les éventuels tiers qui sont ou peuvent être impliqués dans les activités de PensioPlus et qui peuvent dans ce cadre aussi traiter des données à caractère personnel (sous-traitants) et/ou recevoir des données à caractère personnel (destinataires) ;
  • les règles relatives à la période au cours de laquelle les données à caractère personnel seront traitées et/ou stockées (durée) ;
  • la possibilité d’introduire une réclamation auprès de l’autorité de protection des données ;
  • les droits des membres en ce qui concerne l'accès, la rectification, l’effacement, la limitation et le transfert des données à caractère personnel.
9 Droits des travailleurs, des membres et des contacts du réseau dans le cadre du traitement de données
PensioPlus facilite l’exercice des droits mentionnés ci-après des travailleurs, des membres et des contacts du réseau concernant, respectivement, le traitement de données dans le cadre de la gestion du personnel, de la gestion des membres et de la gestion des contacts du réseau. Elle ne refusera pas de donner suite à la demande du travailleur, du membre ou du contact du réseau d’exercer ses droits, à moins qu’elle ne parvienne à démontrer qu’elle n’est pas en mesure d’identifier la personne concernée. Si PensioPlus a des raisons de douter de l’identité de la personne physique qui introduit la demande, elle peut demander des informations complémentaires qui sont nécessaires pour confirmer l'identité.

PensioPlus fournit au travailleur, au membre ou au réseau du contact sur-le-champ, et en tout cas dans un délai d’un mois suivant la réception de la demande, des informations sur la suite qui a été donnée à la demande. En fonction de la complexité des demandes et du nombre de demandes, ce délai peut être prolongé de deux mois, si nécessaire. PensioPlus informe le travailleur, le membre ou le réseau du contact de cette prolongation dans un délai d’un mois suivant la réception de la demande. Lorsque le travailleur, le membre ou le contact du réseau introduit sa demande par voie électronique, les informations seront, si possible, fournies par voie électronique, à moins que le travailleur, le membre ou le contact du réseau ne demande qu’il en soit autrement.

Les mesures visées ici (fourniture d’informations, rectification ou effacement de données à caractère personnel, transfert de données, etc.) sont gratuites pour le travailleur, le membre ou le contact du réseau demandeur. Lorsque des demandes sont toutefois manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, PensioPlus peut : a) soit exiger le paiement d'une indemnité raisonnable à la lumière des frais administratifs auxquels la fourniture des informations ou de la communication demandée et la prise des mesures demandées sont liées, b) soit refuser de donner suite à la demande.

9.1 Droit d’accès du travailleur, du membre ou du contact du réseau

Chaque travailleur, membre ou contact du réseau a le droit de demander l’accès aux données. Lorsqu’un travailleur, un membre ou un contact du réseau exerce ce droit, PensioPlus est légalement tenue de lui fournir ces informations, y compris :

  • une description et une copie des données à caractère personnel ;
  • l’information du demandeur/de la demanderesse des raisons pour lesquelles PensioPlus traite ces données.

9.2 Rectification, limitation et effacement

Si les données à caractère personnel sont incorrectes ou incomplètes, le travailleur, le membre ou le contact du réseau peut demander que les données soient rectifiées.

Dans certaines circonstances, le travailleur, le membre ou le contact du réseau peut, conformément à la législation et à la réglementation en matière de protection des données, demander à effacer ses données à caractère personnel, notamment lorsque celles-ci ne sont plus nécessaires pour les finalités pour lesquelles elles ont été collectées ou traitées, ou si le travailleur, le membre ou le contact du réseau exprime une opposition justifiée au traitement. Dans certains cas, PensioPlus peut cependant refuser d’effacer ces données à caractère personnel, par exemple pour la constatation, l’exercice ou la défense de droits en justice.

Dans certaines circonstances, par exemple lorsque l’exactitude des données à caractère personnel est contestée ou lorsque le travailleur, le membre ou le contact du réseau s’oppose au traitement, il/elle peut demander que le traitement de ses données à caractère personnel soit limité, ce qui implique que les données à caractère personnel concernées seront marquées comme telles et que cela doit apparaître clairement dans le fichier.

9.3 Limitation du traitement et du transfert de données à caractère personnel et opposition à ceux-ci

Conformément à la législation et à la réglementation en matière de protection des données, le travailleur, le membre ou le contact du réseau a, dans certaines conditions, le droit de s'opposer au traitement de ses données à caractère personnel. PensioPlus est tenue de poursuivre le traitement des données à caractère personnel si des motifs légitimes et impérieux pour le traitement prévalent sur les intérêts, les droits et les libertés du travailleur, du membre ou du contact du réseau qui s’y oppose, ou si ces données à caractère personnel sont nécessaires à la défense de droits en justice.

9.4 Portabilité des données

Si c’est nécessaire et approprié, le travailleur, le membre ou le contact du réseau a le droit de recevoir les données à caractère personnel le/la concernant qu'il/elle a fournies à PensioPlus et de les transmettre à un autre responsable du traitement. Le travailleur, le membre ou le contact du réseau peut également demander à PensioPlus d’envoyer directement ces données à caractère personnel à l’autre responsable du traitement si c’est techniquement possible. Ce droit ne peut cependant porter atteinte aux droits et libertés d'autrui.

9.5 Réclamation

Si le travailleur, le membre ou le contact du réseau a des réclamations en rapport avec le traitement de ses données à caractère personnel, il/elle peut le signaler en premier lieu à : Marc Van den Bosch - 02 706 85 47.

Le travailleur, le membre ou le contact du réseau a également la possibilité d’introduire une réclamation auprès de l’autorité de protection des données.
10 Conservation des données à caractère personnel
Les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire pour les finalités énoncées dans la présente note de politique.

  • Pour les employés, aussi longtemps que les dispositions légales l’exigent. A cet effet, il est également fait référence aux Conditions Générales de SD Works transmises par e-mail en date du 26/04/2018 et soumises à PensioPlus pour approbation.
  • Pour les membres, aussi longtemps qu’ils sont membres.
  • Pour les contacts du réseau, aussi longtemps que nécessaire dans le cadre de la réalisation de la mission de PensioPlus, telle que décrite sur le site web (www.PensioPlus.be). Dans tous les cas, tant que le contact peut être pertinent dans le cadre des activités de PensioPlus ou dans le cadre d'une organisation avec laquelle ces contacts pertinents et nécessaires sont effectivement établis, par exemple dans le cadre du travail de lobbying de PensioPlus.

PensioPlus veille à ce que les données à caractère personnel soient effacées à temps et prend les mesures nécessaires pour veiller à ce que ces données à caractère personnel soient aussi effacées chez les sous-traitants qui en disposent. L’effacement des données à caractère personnel est effectué dans les meilleurs délais.
11 Transfert de données en dehors de l’EEE
En principe, les données à caractère personnel ne sont pas transférées par PensioPlus à un pays en dehors de l’EEE.

Si PensioPlus transfère tout de même des données à caractère personnel à un pays en dehors de l’EEE, elle offrira en tout cas des garanties appropriées par l’application d’une des méthodes suivantes :

  • Le destinataire des données est établi dans un pays dont la Commission européenne reconnaît qu’il offre une protection suffisante ; ou
  • Le destinataire des données se déclare d’accord de traiter les données à caractère personnel conformément aux ‘clauses contractuelles standard’ (CCS) approuvées par la Commission européenne pour les responsables du traitement ou les sous-traitants.
12 Transfert à des tiers
Des données à caractère personnel peuvent être transférées à des tiers si leur publication s’inscrit dans le cadre des finalités énoncées dans la présente note de politique pour le traitement de données et si cette publication est jugée licite et loyale pour le travailleur, le membre ou le contact du réseau.

PensioPlus peut également publier des données à caractère personnel :

  • si le travailleur, le membre ou le contact du réseau y donne son consentement ;
  • si c’est légalement obligatoire ; et
  • en ce qui concerne des enquêtes pénales ou d’autres enquêtes menées par les autorités publiques.

Dans le cadre de la gestion du personnel, les données à caractère personnel des travailleurs peuvent notamment être communiquées par PensioPlus à ou traitées par :

  • l’administration de la sécurité sociale ;
  • l’administration fiscale ;
  • le secrétariat social ;
  • le service externe de prévention et de protection au travail ;
  • la société de leasing pour les voitures de société ;
  • les compagnies d’assurances avec lesquelles PensioPlus a conclu un contrat d’assurance (y compris les compagnies d’assurances pour les accidents du travail, l'assurance maladie, l'assurance groupe, l’assurance revenu et l’exonération de prime) ;
  • le(s) courtier(s) en assurances ;
  • les prestataires de services dans le cadre de voyages d'affaires ;
  • les autorités répressives conformément à la législation pertinente ;
  • les entreprises ou prestataires de services IT pour des programmes logiciels concernant les ressources humaines.

Dans le cadre de la gestion des membres, les données à caractère personnel peuvent notamment être communiquées par PensioPlus à ou traitées par des tiers tels que des entreprises ou prestataires de services IT pour des programmes logiciels concernant la gestion des membres et le stockage de données électroniques (serveurs, etc.).

Lorsque les données à caractère personnel sont transmises à un sous-traitant, qui traite ces données pour le compte de PensioPlus, PensioPlus fait uniquement appel à des sous-traitants qui offrent des garanties suffisantes quant à l’instauration de mesures techniques et organisationnelles appropriées, ce qui permet d’effectuer le traitement de données conformément au RGPD et de protéger les droits du travailleur, du membre ou du contact du réseau. PensioPlus conclut avec le sous-traitant un contrat écrit, qui contient au moins les données imposées par la législation et la réglementation en matière de protection des données. Ce contrat stipule explicitement que le sous-traitant peut exclusivement traiter les données à caractère personnel sur la base des instructions écrites de PensioPlus et prévoit la garantie du sous-traitant que les personnes qu'il autorise à traiter les données à caractère personnel respectent la nature confidentielle de ces données. En outre, le contrat mentionne explicitement si le sous-traitant est autorisé à travailler avec d'autres sous-traitants et de quelles conditions il doit tenir compte dans ce cas.

Préalablement à la conclusion d’un contrat avec un sous-traitant, PensioPlus examine si le sous-traitant peut donner des garanties suffisantes qu’il procédera au traitement des données conformément à la législation et à la réglementation en matière de protection des données (due diligence). Pendant l’exécution du contrat, PensioPlus suit le respect par le sous-traitant de la législation et de la réglementation en matière de protection des données (cf. audits, rapports...).
13 Violation de données à caractère personnel
13.1 Communication de violations de données à caractère personnel

Pendant l’exercice de leurs tâches dans le cadre de la gestion et de l'exécution du plan de pension, les utilisateurs autorisés doivent veiller à éviter les incidents (délibérés ou non) susceptibles de nuire à la vie privée des personnes concernées.

En cas de violation, il est capital que des mesures appropriées soient prises dans les meilleurs délais afin de minimiser le risque de dommages pour le travailleur, le membre ou le contact du réseau, ainsi que pour PensioPlus (dommages à la réputation, sanctions imposées...).

Si la violation a ou peut avoir des conséquences négatives graves en ce qui concerne la protection des données à caractère personnel concernées, celles-ci doivent être communiquées à l'autorité de protection des données, conformément au RGPD, dans les 72 heures après que PensioPlus en a pris connaissance. PensioPlus se charge de cette communication. Dans certains cas, PensioPlus informera aussi le travailleur, le membre ou le contact du réseau concerné qui a été impacté par cette violation, et ce, dans les meilleurs délais.

13.2 Quand est-il question d’une violation ?

Il sera par exemple question d’une violation en cas de vol ou de perte d’une clé USB, d’un appareil mobile ou d’un ordinateur portable qui contient des données à caractère personnel ou une application qui donne accès à des données à caractère personnel ; en cas d’intrusion par un hacker de quelque système que ce soit qui contient des données à caractère personnel ; en cas d’envoi de fiches de pension ou d’une communication relative à des prestations de pension au mauvais destinataire ; ... Toute violation de la sécurité ne constitue cependant pas une violation. Le schéma ci-dessous montre quand une violation de la sécurité doit être considérée comme une violation à communiquer à l'autorité de protection des données et/ou au travailleur, au membre ou au contact du réseau concerné.

En tout cas, les utilisateurs autorisés, ainsi que toutes les autres personnes qui consultent, utilisent ou gèrent des informations de PensioPlus sont responsables de la communication immédiate de tout incident lié à la sécurité des informations et de toute violation à Marc Van den Bosch - 02 706 85 47, de sorte qu’on puisse immédiatement examiner les conséquences, prendre les mesures nécessaires et vérifier s’il s’agit d’une violation qui doit être communiquée à l’autorité de protection des données et/ou au travailleur, au membre ou au contact du réseau concerné.

Si la communication a lieu par e-mail, il est capital de mentionner explicitement dans le champ « objet » de l’e-mail qu’il s’agit d’un message de la plus haute importance et d’une éventuelle violation de données à caractère personnel. Si Marc Van den Bosch ne peut être joint directement par téléphone, il doit en tout cas aussi être informé par e-mail.

Le rapport doit contenir une description complète et détaillée de l’incident, y compris l’identité de la personne qui procède à la communication, le type d’incident ou de violation, si les données se rapportent à des personnes et combien de personnes sont concernées.

Dans chaque contrat avec un sous-traitant, il est stipulé que le sous-traitant doit immédiatement communiquer chaque violation à PensioPlus.

13.3 Enquête et analyse des risques

En principe, une enquête sera lancée par PensioPlus dans les 24 heures de la constatation d'un incident ou d'une violation par PensioPlus ou de la communication d'un incident ou d'une violation par un sous-traitant, un utilisateur autorisé, un destinataire, un travailleur, un membre, un contact du réseau, un tiers...

L’enquête vérifiera la nature de l’incident, le type de données concernées et si des données à caractère personnel sont impliquées, et si tel est le cas, qui est le travailleur, le membre ou le contact du réseau concerné. Cette enquête déterminera s'il s’agit d’une violation ou non.

S’il s’agit d’une violation, une analyse des risques sera en tout cas aussi réalisée afin de déterminer quelles sont (peuvent être) les conséquences possibles de la violation, et en particulier, l’impact (possible) pour le travailleur, le membre ou le contact du réseau concerné.

13.4 Gestion et réparation

PensioPlus veille à ce que les mesures appropriées soient prises afin de limiter l'impact de la violation et de veiller à ce que cette violation ne se reproduise plus à l'avenir. Si nécessaire, l’avis d’experts (externes) sera recueilli afin de remédier à la violation sur-le-champ et de manière appropriée et d'en limiter l'impact.

13.5 Communication

PensioPlus décidera ensuite sur la base de la gravité de la violation si l’autorité de protection des données doit être légalement informée.

S’il est décidé de communiquer la violation à l’autorité de protection des données, et éventuellement aussi au travailleur, au membre ou au contact du réseau concerné, l’évaluation suivante sera réalisée :




PensioPlus insiste encore une fois sur le fait que si un utilisateur autorisé, un travailleur, un membre ou un contact du réseau ou toute autre personne constate un incident, il est d’une importance capitale de le communiquer immédiatement, afin de permettre à PensioPlus de juger si une violation (possible) a eu lieu ou non et de prendre les mesures et actions nécessaires en temps opportun (dont l’éventuelle communication à l’autorité de protection des données dans les 72 heures).

13.6 Documentation des violations

PensioPlus documente toutes les violations sur la base d’un rapport. Ce rapport décrit l’origine de la violation et les éléments qui y ont contribué, le déroulement chronologique des événements, les mesures de correction, les recommandations et les leçons apprises afin d’identifier des domaines à améliorer. Les modifications recommandées aux systèmes, lignes politiques et procédures seront ensuite élaborées et mises en œuvre dans les meilleurs délais.
14 Maintien de la présente note de politique, sanctions
PensioPlus veille à ce que la présente note de politique sur la protection des données soit prise en considération et correctement mise en œuvre. Toutes les personnes ayant accès à des données à caractère personnel doivent respecter la présente note de politique.

La violation de la législation et de la réglementation en matière de protection des données peut entraîner l’imposition d’amendes ou d’indemnisations à PensioPlus par l'autorité de protection des données ou le tribunal compétent. Si ces dommages résultent directement d’une violation de la présente note de politique par un utilisateur autorisé, celui-ci pourra être sanctionné à l’aide des mesures disciplinaires nécessaires.
15 Communication de la présente note de politique
La présente note de politique peut être consultée sur le site Internet www.pensioplus.be.
16 Modifications apportées à la politique
PensioPlus se réserve le droit de modifier, si nécessaire, la présente note de politique, par exemple pour satisfaire à de nouvelles obligations légales, directives ou exigences posées par l'autorité de protection des données. PensioPlus informera les utilisateurs autorisés de toute modification matérielle apportée à la présente note de politique.

* * *

La présente note de politique sur le traitement et la protection des données a été élaborée le 23/05/2018

Document texte not found (C:\Users\ABIP00\Desktop\Organon PROD\websites\ABIP\Textes\0)
ACCEPTER