Conditions de confidentialité
GÉNÉRALITÉS
La considération de votre vie privée est très importante pour FeBi.
Nous faisons le nécessaire pour protéger vos données personnelles et leur traitement.
Vous trouverez plus d’info ci-dessous.
Si vous avez des questions? Contactez-nous via: gdpr@fe-bi.org
PRINCIPES
Traitement licite
Le traitement de données à caractère personnel ne sera licite que :
- Si la personne concernée a donné son consentement ;
- Si le traitement est nécessaire à l’exécution d’un contrat ;
- Si le traitement est exigé par une loi, un décret ou une ordonnance ;
- Si le traitement est nécessaire pour sauvegarder un intérêt vital ;
- Si le traitement est nécessaire pour exécuter une mission d’intérêt public ;
- Si le traitement est nécessaire pour réaliser un intérêt légitime du responsable
Traitement loyal et transparent, collecte à des fins déterminées
Celui qui collecte les données doit indiquer pourquoi il veut obtenir ces données. Il ne peut faire croire qu’il poursuit un but alors qu’il a l’intention de faire autre chose avec les données collectées. Il ne peut pas non plus agir à l’insu des personnes, elles doivent être informées de la manière dont leurs données seront utilisées.
Données collectées adéquates et pertinentes
Le but de la collecte doit bien être spécifié et les données demandées pertinentes au vu de cet objectif. Par exemple, si on souhaite établir un fichier d’adresses pour l’envoi d’une newsletter, l’adresse mail sera pertinente mais pas une date de naissance ou un état civil.
Données sensibles
En principe, on n’a pas le droit de collecter certaines données dites sensibles, à savoir les données relatives à la race, aux opinions politiques, aux convictions religieuses et philosophiques, à l’appartenance syndicale, à la santé, à la vie sexuelle, à des suspicions, des poursuites ou des condamnations pénales ou administratives. Toutefois, des exceptions sont admises si les personnes ont donné leur consentement explicite ou dans le cadre de soins de santé ou de recherche scientifique.
Données exactes et tenues à jour
Le responsable du traitement doit veiller à ce que les données soient exactes et mises à jour si nécessaire. Il doit également prendre les mesures nécessaires pour corriger ou effacer les données inexactes ou incomplètes.
Durée de conservation des données
Les données personnelles ne doivent pas être conservées plus longtemps qu’il n’est nécessaire par rapport à l’objectif poursuivi. Il conviendra alors de les effacer ou de les rendre anonymes.
Sécurité des traitements & confidentialité
Le responsable du traitement doit veiller à ce que les personnes travaillant sous son autorité ne puissent avoir accès qu’aux données dont elles ont besoin pour exercer leurs fonctions. Il est aussi important de protéger les données contre une curiosité malsaine (interne ou externe) et contre des manipulations non autorisées.
OBLIGATIONS À CHARGE DES ASBL :
Responsable de traitement et registre
La loi prévoit, en principe, une obligation de déclaration des traitements de données. Toutefois, les traitements suivants sont exemptés de déclaration :
- Traitement réalisé par une société pour la gestion du personnel
- Traitement réalisé par une fondation ou ASBL concernant ses membres, bienfaiteurs et contacts réguliers
- Traitement réalisé par les écoles et les établissements d’enseignement concernant leurs élèves et étudiants
Cependant, malgré la dispense de déclaration, l’ASBL doit désigner un responsable de traitement. Ce dernier doit tenir à la disposition de toute personne qui en fait la demande un registre des activités de traitement qui reprend :
- La dénomination du traitement
- La finalité ou les objectifs
- Les catégories de données traitées
- Les bases légales ou réglementaires
- Les destinataires à qui les données peuvent être fournies
- Les garanties entourant la communication de données à des tiers
- Les moyens d’information aux personnes dont les données sont traitées
- Les coordonnées d’un responsable auprès duquel les personnes concernées pourront exercer leurs droits
- Les catégories de données transmises à l’étranger, le pays de destination et les raisons permettant le transfert
- La période de validité des données
- Les mesures organisationnelles et techniques de sécurité
Mesures techniques et organisationnelles - Politique de protection des données
Les mesures de sécurité à mettre en œuvre sont de deux ordres : des mesures organisationnelles (limite le nombre de personnes ayant accès aux données, utilisation de mots de passe, locaux fermés, etc.) et des mesures techniques (anonymisation des données, chiffrement et encryptage, etc.).
Obligation de signaler une violation ou fuite de données
En cas de violation de données ou de fuite de données, le responsable du traitement doit informer l’autorité de contrôle dont il dépend de la violation ou fuite et ce dans les 72 heures. Il existe une exception si la violation ou fuite ne représente pas de risque pour les droits et libertés des personnes concernées. Par ailleurs, si un tel risque existe, le responsable de traitement doit également informer les personnes concernées par cette violation ou fuite.
EXCEPTIONS
La loi ne s’applique pas dans le cadre d’activités exclusivement personnelles ou domestiques, comme la tenue d’un fichier d’adresses privé ou d’un agenda personnel électronique.
La loi peut s’appliquer de manière partielle dans le cadre de traitements à des fins journalistiques ou artistiques (afin de garantir un équilibre avec la liberté d’expression). Les traitements à des fins de sécurité publique bénéficient également d’exceptions partielles.
QUELQUES DÉFINITIONS
Données à caractère personnel
Toute information concernant une personne physique identifiée ou identifiable. Il peut s’agir du nom, d’une photographie, d’un numéro de téléphone, d’une empreinte digitale, d’un numéro de compte, etc. Même les informations qui se rapportent à la vie professionnelle ou publique sont considérées comme « données à caractère personnel ».
Traitement
Toute opération entièrement ou partiellement automatisée effectuée sur les données. Le sens du mot « opération » est très large, il peut s’agir de consultation, utilisation, modification, communication, etc. Attention, dans le cadre de traitement manuel, la loi s’applique également s’il s’agit de constituer un fichier accessible selon des critères spécifiques (classement, ordre alphabétique, etc.).
Responsable du traitement
Toute personne physique ou morale qui détermine les finalités et moyens du traitement des données. Les associations de fait ou les administrations publiques sont également concernées.
Autorité de contrôle
En Belgique, il s’agit de l’Autorité de Protection des Données (ancienne Commission Vie Privée).
Droit à l’information
A partir du moment où l’on recueille des données sur des personnes, on doit informer ces personnes de ce que l’on compte en faire. On ne peut pas traiter de données à l’insu des sujets.
Droit à la curiosité
Chacun a le droit d’interroger tout responsable de traitement pour savoir s’il détient ou non des données le concernant. Le responsable doit alors confirmer ou non s’il détient des données, et si c’est le cas, préciser dans quel but, de quelles catégories de données et quels en sont les destinataires.
Droit d’accès
Chacun a le droit de recevoir, sous une forme intelligible, une copie des données faisant l’objet d’un traitement ainsi que toute information sur l’origine des données. Ce droit est exerçable par demande au responsable de traitement en faisant la preuve de son identité, par tout moyen de communication.
Droit de rectification
Toute personne peut faire rectifier des données inexactes qui se rapportent à lui, ou faire effacer ou interdire l’utilisation de données incomplètes ou non pertinentes (et ce sans aucun frais).
Droit d’opposition
Chacun peut s’opposer au traitement de ses données mais en invoquant des raisons sérieuses et légitimes. Dans le cas de marketing direct, l’opposition sera gratuite et sans aucune justification nécessaire.
Droit de ne pas être soumis à une décision automatisée
La loi interdit qu’une décision affectant une personne de manière significative soit prise sur le seul fondement d’un traitement automatisé. Cette interdiction ne s’applique pas sir le traitement est fondé dans le cadre d’un contrat ou d’une disposition légale ou réglementaire.
CONCRÈTEMENT POUR LES INSTITUTIONS DU SECTEUR NON-MARCHAND
Obligation de désigner un responsable de traitement
Tout registre de traitement (voir ci-dessous) doit avoir un responsable désigné. Ce responsable sera le point de contact dans l’institution pour toute demande relative aux traitements des données personnelles.
Etablir le registre des traitements
Pour chaque traitement spécifique, un registre devra être établi par le responsable, en reprenant les points listés en page 2.
Assurer les obligations complémentaires
Il faudra s’assurer que les mesures techniques et organisationnelles soient mises en place et suffisantes pour garantir la sécurité des données.
En outre, il faudra respecter l’obligation de déclaration dans le cas d’une éventuelle violation ou fuite de ces données.
ATTESTATION ADAPTATIONS NÉCESSAIRES GDPR
Lisez la déclaration sur l’honneur.
CONTACT
Si vous avez encore des questions? Contactez-nous via mail: gdpr@fe-bi.org
Par lettre : envoie ta question par lettre à FeBi asbl, Square Sainctelette 13-15, 1000 Bruxelles