Politique générale de confidentialité

Politique générale de confidentialité

1. Objectif

La présente Politique générale de confidentialité (ci-après : la « Politique ») s’applique à Merkator NV (« Merkator NV »), une entreprise belge dont le siège social est établi à 1731 Asse, Vliegwezenlaan 48, inscrite à la BCE sous le numéro 0839.944.576.

Cette Politique vise à définir les garanties appropriées pour le traitement des données à caractère personnel (tel que défini ci-après) par Merkator NV.

Elle détermine toutes les informations pertinentes et les instructions destinées à toute personne qui, dans l’exercice de ses fonctions chez Merkator NV, traite des données à caractère personnel telles que décrites dans la présente Politique.

La Politique est établie afin d’assurer la conformité au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE (Règlement général sur la protection des données ou RGPD).

La Politique n’a pas pour objectif d’offrir une protection plus étendue que celle requise par la législation applicable.

2. Pour qui ?

Cette Politique s’applique à toute personne qui, dans l’exercice de ses fonctions chez Merkator NV, traite des données à caractère personnel telles que définies dans cette Politique.

Exemples de personnes concernées :
• Personnel actuel
• Candidats (personnel potentiel)
• Anciens employés
• Membres de la famille d’employés
• Sous-traitants/consultants/freelances
• Intérimaires
• Administrateurs et actionnaires
• Contacts chez les clients
• Contacts chez les fournisseurs
• Prospects
• Etc.

La Politique s’applique à tous les services où des données à caractère personnel sont traitées.

3. Champ d’application

La Politique s’applique au traitement de données à caractère personnel dans le cadre des activités de Merkator NV.

4. Définitions

Le RGPD contient une série de définitions dont les principales sont reprises ci-dessous :

« Responsable du traitement » : la personne physique ou morale qui détermine, seule ou conjointement avec d’autres, les finalités et les moyens du traitement de données personnelles. Dans le cadre de cette Politique, les entités de Merkator NV agissent comme responsables du traitement, séparément ou conjointement.
« Employé » : Terme utilisé au sens large, incluant tout employé actuel ou ancien.
« Espace économique européen (EEE) » : comprend actuellement les pays suivants : Belgique, Bulgarie, Chypre, Danemark, Allemagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Islande, Italie, Croatie, Lettonie, Liechtenstein, Lituanie, Luxembourg, Malte, Pays-Bas, Norvège, Autriche, Pologne, Portugal, Roumanie, Slovénie, Slovaquie, Espagne, Tchéquie, Royaume-Uni, Suède.
« Données à caractère personnel » : toute information concernant une personne identifiée ou identifiable (« personne concernée »).
« Personne concernée » : personne identifiable directement ou indirectement, notamment par un identifiant, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments propres à son identité.
« Données sensibles » : données révélant :
– l’origine raciale ou ethnique
– les opinions politiques
– les convictions religieuses ou philosophiques
– l’appartenance syndicale
– des données concernant la santé, la vie sexuelle
– des données relatives à des condamnations pénales ou infractions
« Traitement » : toute opération portant sur des données à caractère personnel : collecte, enregistrement, organisation, conservation, modification, consultation, utilisation, communication, diffusion, limitation, effacement, destruction.
« Violation de données » : toute violation de la sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée de données personnelles.

5. Application du droit local

Cette Politique vise à assurer la conformité au RGPD. Merkator NV reconnaît que certaines législations nationales peuvent imposer des exigences spécifiques complémentaires, applicables en parallèle au RGPD.

Toute question relative à la législation applicable peut être adressée au Responsable GDPR : privacy@merkator.com.

6. Principes relatifs au traitement des données personnelles

Merkator NV respecte la vie privée des personnes concernées et s’engage à traiter leurs données personnelles conformément au RGPD.

Merkator NV applique les principes suivants :

• Licéité, loyauté et transparence
• Finalités déterminées et légitimes
• Minimisation des données
• Exactitude et mise à jour
• Conservation limitée
• Respect des droits de la personne concernée
• Sécurité technique et organisationnelle adéquate

En cas de violation ou incident, Merkator NV prendra les mesures nécessaires conformément au RGPD.

7. Données personnelles traitées par Merkator NV

Le terme de données personnelles est interprété largement. Toute information permettant d’identifier une personne, seule ou combinée à d’autres données, est concernée.

Exemples :
• nom, adresse, téléphone, e-mail
• données électroniques (logs)
• photos, vidéos, enregistrements
• numéros d’identification
• données financières
• caractéristiques personnelles (âge, sexe, nationalité…)
• données professionnelles, formation, famille, etc.

La Politique ne s’applique pas aux données anonymes, ni aux données concernant des personnes morales sauf si elles permettent d’identifier une personne physique.

8. Informations sur les traitements effectués par Merkator NV

Merkator NV traite les données personnelles sur la base d’un fondement juridique légitime, tel que :

• exécution d’un contrat ou mesures précontractuelles
• respect d’une obligation légale
• intérêt légitime de Merkator NV (sous réserve d’un test de balance des intérêts)

D’autres bases peuvent s’appliquer dans certains cas, notamment :
• consentement libre, spécifique et éclairé
• protection des intérêts vitaux

Le traitement de données sensibles n’est autorisé que dans les cas prévus par le RGPD.

Pour davantage de détails, Merkator NV renvoie à :
• la déclaration générale de confidentialité sur les sites web
• la notice de confidentialité pour les candidats
• la notice de confidentialité pour le personnel

9. Sécurité et confidentialité

Merkator NV met en œuvre des mesures techniques, physiques et organisationnelles pour protéger les données personnelles.

9.1 Sécurité informatique

Systèmes protégés par une architecture sécurisée, pare-feux, détection d’intrusion, sauvegardes, centres de données sécurisés, etc.

9.2 Contrôle d’accès

Accès physique et électronique strictement contrôlé. Accès aux données limité selon la fonction.

9.3 Formation

Le personnel reçoit une formation adéquate concernant le traitement licite et sécurisé des données personnelles.

10. Protection des données dès la conception et par défaut

Merkator NV applique le principe de Data Protection by Design & by Default.

10.2 Analyse d’impact (DPIA)

Une DPIA est réalisée lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

Liste des critères : profilage, traitement à grande échelle, données sensibles, surveillance systématique, etc.

11. Droits des personnes concernées

Merkator NV facilite l’exercice des droits :

• Droit d’accès
• Droit de rectification
• Droit à l’effacement (« droit à l’oubli »)
• Droit de retirer son consentement
• Droit à la limitation
• Droit à la portabilité
• Droit d’opposition
• Droit de ne pas faire l’objet d’une décision automatisée

Les demandes sont à adresser à : privacy@merkator.com.
Merkator NV répond dans un délai d’un mois (prolongeable de 2 mois).

12. Conservation des données

Les données personnelles ne sont pas conservées plus longtemps que nécessaire au regard des finalités.

13. Transfert de données

13.1 Au sein du groupe Merkator

Différents rôles possibles : responsable, responsable conjoint, ou sous-traitant.
Un accord intra-groupe encadre ces relations.

13.2 À des tiers

Merkator NV peut transférer des données à des tiers lorsque cela est nécessaire et légitime.
Des garanties contractuelles sont mises en place pour assurer la conformité RGPD.

14. Décisions automatisées

Merkator NV ne prend pas, en principe, de décisions fondées exclusivement sur un traitement automatisé.
Si cela devait être le cas, des garanties appropriées seraient fournies.

15. Violations de données

Toute violation doit être signalée immédiatement au département Privacy.

Merkator NV :
• analyse l’incident
• évalue les risques
• prend les mesures correctives
• informe l’Autorité de protection des données dans les 72 heures si nécessaire
• informe les personnes concernées si requis

16. Instructions particulières pour le personnel

Toute personne ayant accès aux données personnelles doit respecter la Politique strictement.
Les violations peuvent avoir des conséquences graves pour les personnes concernées et pour Merkator NV.

17. Application de la Politique

Le non-respect peut entraîner :
• sanctions légales
• sanctions internes, pouvant aller jusqu’au licenciement

18. Communication de la Politique

La Politique est communiquée via le portail interne et expliquée lors de formations obligatoires.

19. Modifications de la Politique

Merkator NV peut modifier la Politique pour répondre à de nouvelles obligations légales ou directives.
Toute modification substantielle sera communiquée aux personnes concernées.