GDPR
« RGPD » est l’acronyme de Règlement Général sur la Protection des Données (ou GDPR pour General Data Protection Regulation en anglais). Le RGPD est la nouvelle réglementation en vigueur en matière de protection des données et remplace les anciens textes sur le sujet (la Directive 95/46/CE et la loi vie privée du 8 décembre 1992).
Le RGPD est entré en vigueur le 25 mai 2018. Bien que les grands principes du RGPD soient les mêmes que ceux des législations antérieures, il présente aussi certaines nouveautés (en matière de droits accordés aux personnes dont les données sont traitées et d’obligation des sous-traitants, par exemple).
Bien que les autorités européennes souhaitent que les systèmes de certification RGPD soient développés en temps utile, ceux-ci n’existent pas encore. Securex suit la situation de près. Le moment venu, nous évaluerons s’il est souhaitable d’y adhérer. Actuellement, notre secrétariat social dispose d’une certification ISAE 3402. Dans ce cadre, une évaluation du respect du RGPD va être réalisée. De même, l’activité de SEPP (Service Externe de Prévention et Protection) est certifiée ISO9001.
Oui. Une des nouveautés du GDPR est d’imposer dans certains cas aux entreprises de nommer un 'Data Protection Officer' (DPO) comme, par exemple, quand les activités de base de l’entreprise en question consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées.
Ceci est le cas pour Securex qui, dans ses différentes activités, traite un grand nombre de données personnelles de travailleurs, indépendants ou chefs d’entreprises (ou de leurs familles pour ce qui concerne l’activité de caisse d’allocations familiales).
C’est une question à laquelle il faut répondre activité par activité. Pour un grand nombre d’activités, Securex est sous-traitant (par ex. : l’activité d’administration des salaires dans les différentes entités secrétariat social) car il traite des données personnelles d’employés sur base d’instructions des employeurs qui sont, eux, les responsables de traitement. Pour d’autres activités, Securex est responsable de traitement car il détermine lui-même les finalités du traitement des données et les modalités de celui-ci (par ex. : assurances, enquêtes) ou la loi lui donne cette qualité (par ex. : contrôle médical, SEPP).
De manière générale, pour ce qui concerne les activités de secrétariat social, l’employeur (vous) est le responsable du traitement (puisque vous donnez les instructions nécessaires à l’établissement et l’envoi de la fiche de paie) et Securex secrétariat social est le sous-traitant (puisque Securex agit sur base de vos instructions).
De même, si vous faites appel à un consultant RH de Securex, vous êtes le responsable du traitement pour les données traitées par ce consultant et Securex le sous-traitant.
Par contre, lorsque vous souscrivez à une assurance de Securex (ex : assurance accident du travail ou revenu garanti), Securex est le responsable du traitement des données traitées en exécution de ce contrat d’assurance.
De manière similaire, en ce qui concerne les prestations de médecine préventive (SEPP) et de médecine de contrôle (MCM), Securex est le responsable du traitement des données relatives à la santé des travailleurs concernés (en raison de l’indépendance du médecin par rapport à l’employeur).
Une violation de données (ou data breach en anglais) est tout cas où une violation de la sécurité entraîne de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d'une autre manière. Sont donc, par exemple, des violations de données au sens du RGPD : l’intrusion sur un serveur avec consultation des données personnelles qui s’y trouvent, la destruction accidentelle (en dehors de toutes les procédures de sécurité informatique prévues pour le faire) d’un disque dur sur lequel se trouve des données personnelles, la divulgation non autorisée de données personnelles obtenues sur l’infrastructure du Groupe Securex.
Dans le cas où Securex est sous-traitant (pour le secrétariat social, par exemple), il vous avertira par le biais d’un formulaire spécifique dans les meilleurs délais. Ce formulaire reprendra toutes les informations nécessaires pour vous permettre de remplir vos obligations de notification à l’Autorité de Protection des Données personnelles (APD).
Le responsable du traitement (vous pour le secrétariat social et/ou Securex-même pour d’autres missions, cf. ci-dessus) doit, dans certains cas, notifier l’APD de la survenance d’une violation de données.
Securex a mis en place une procédure et des formulaires adéquats pour vous communiquer dans les délais nécessaires les informations à reprendre dans la notification que vous devriez faire à la CPVP (ou pour remplir sa propre obligation de notification à la CPVP le cas échéant).
Securex a mis en place des mesures organisationnelles (nomination d’un DPO, d’un CISO…) et procédurales (procédures, polices, manuel de sécurité) afin d’assurer la sécurité informatique et physique des données personnelles qu’il traite. De plus, certaines de ses activités font l’objet de certifications (le secrétariat social dispose d’une certification ISAE 3402 et l’activité de SEPP est certifiée ISO9001).
- En ce qui concerne vos obligations en tant qu’employeur, cliquez ici pour une série d’articles sur lex4you.be
- Si vous recherchez un modèle de Privacy Policy ou de registre de données pour un traitement RH, rendez-vous sur notre e-shop ou contactez votre Legal Advisor
- Si vous souhaitez un avis concret et/ou connaître l’impact du GDPR sur vos politiques RH, vous pouvez obtenir un avis payant et/ou demander un screening GDPR de toutes vos politiques RH (payant) à votre Legal Advisor
- Si vous souhaitez suivre une formation sur le GDPR, vous pouvez consulter notre agenda de formations
Securex ne peut exercer de missions de consultance générale RGPD. Nous pouvons toutefois vous aider avec un modèle de registre pour le traitement RH de données personnelles. Dans ce cadre, nous avons un modèle de document à disposition via notre e-shop ou à demander directement via nos Legal Advisors.
Securex traite vos données, en Europe uniquement. Les serveurs de Securex (qui contiennent, entre autres, les données de vos travailleurs pour le service Secrétariat social) sont par ex. localisés en Belgique.
Pour certains services spécifiques, des sous-traitants peuvent avoir un accès limité à certaines données à caractère personnel. On attend des sous-traitants éventuels qu’ils répondent aux mêmes conditions et aux mêmes attentes.
Au niveau contractuel, la garantie est offerte, et le suivi en est assuré, que lesdits sous-traitants traitent ces données au sein de l’Union européenne ou dans un autre pays adéquat (tel que le Royaume Uni ou la Suisse).
Si, pour certains services, des données doivent malgré tout être transmises à d’autres pays, c’est uniquement possible si des garanties suffisantes sont fournies au préalable en vue d’un niveau de protection adéquat des données à caractère personnel et du respect de la vie privée des personnes impliquées (tel que l’Europe et le RGPD le prévoit, au moyen, par exemple, de Binding Corporate Rules ou de Standard Contractual Clauses / règles d’entreprise contraignantes ou clauses contractuelles types).