RGPD
Sécurité informatique et sécurité de l’information
Politique de l’institution quant à la sécurité des données personnelles
L’institution collecte et traite des données personnelles dans les domaines suivants :
- Travailleurs salariés de l’institution :
La finalité du traitement est la gestion sociale et fiscale de travailleurs salariés dont la responsabilité finale incombe à l’employeur.
Les données récoltées sont classifiées comme suit :
- Données de sélection et recrutement ;
- Données d’identité ;
- Données administratives ;
- Données juridiques ;
- Données d’équipement de protection individuelle ;
- Membres et administrateurs de l’institution :
La finalité du traitement est le respect de la législation relative aux A.S.B.L. et des obligations d’identification des membres et des administrateurs.
Les données récoltées sont classifiées comme suit :
- Données d’identité ;
- Données de contact et de compétence ;
- Clients commerciaux :
La finalité du traitement est de garantir aux clients commerciaux un service après-vente conforme à leurs attentes et aux éventuelles obligations légales.
Les données récoltées sont classifiées comme suit :
- Données d’identité ;
- Données relatives aux types de travaux réalisés ;
- Fournisseurs :
La finalité du traitement est de disposer des éventuelles données personnelles du contact le plus approprié chez le fournisseur en fonction de la demande.
Les données récoltées sont classifiées comme suit :
- Données d’identité ;
- Partenaires :
La finalité du traitement est de disposer des éventuelles données personnelles du contact le plus approprié chez le partenaire en fonction de la demande.
Les données récoltées sont classifiées comme suit :
- Données d’identité ;
- Travailleurs salariés du responsable de traitement, client du service social :
La finalité du traitement est d’aider le responsable du traitement, client du service social, à la gestion sociale, fiscale et comptable de ses travailleurs salariés.
Les données récoltées sont classifiées comme suit :
- Données d’identité ;
- Données administratives ;
- Données juridiques ;
- Données comptables.
Ces données personnelles ne sont jamais vendues à des tiers, pour quelque raison que ce soit.
Toute personne concernée par la récolte et le traitement de certaines de ces données personnelles peut prendre contact avec la direction de l’institution afin que celle-ci, en fonction de la demande, oriente la personne auprès du service compétent.
Les coordonnées de la direction sont les suivantes :
rudi@cmgrossi.be
Vous trouverez également dans ce document la politique de l’institution en matière de sécurité informatique et de sécurité de l’information.
Pour l’élaboration de ce guide relatif à la sécurité des données personnelles, l’institution a veillé à élaborer, pour chaque registre de traitement de données à caractère personnel, une gestion des risques comprenant les éléments suivants :
- L’identification des impacts potentiels sur les droits et libertés des personnes concernées si l’un des événements suivants survient :
- L’accès illégitime aux données personnelles ;
- La modification non désirée de données personnelles ;
- La disparition de données personnelles ;
- L’identification des sources de risques (qui ou quoi pourrait être à l’origine de chaque événement redouté) ;
- L’identification des menaces réalisables (qu’est-ce qui pourrait permettre que chaque événement redouté survienne) ;
- La détermination des mesures existantes ou prévues qui permettent de traiter ces risques ;
- La gravité et la vraisemblance de ces risques.
De cette analyse de gestion des risques, l’institution a mis en place la politique de sécurité reprise ci-dessous.
Sensibilisation des collaborateurs
Dès leur engagement et tout au long de leur parcours professionnel au sein de l’institution, les collaborateurs sont sensibilisés à l’importance du devoir de discrétion et de réserve, voire de secret professionnel dans la connaissance, la collecte et l’utilisation de données personnelles.
Des formations régulières sont organisées en interne dans ces domaines, et ce en lien avec les spécificités de notre « corps business », à savoir la gestion sociale et comptable.
Authentification des utilisateurs
Gestion des habilitations
Accès au serveur
L’institution fonctionne via des serveurs internes.
Certains collaborateurs bénéficient d’un accès à distance identifiable et sécurisé (redondance au niveau de la protection, que ce soit en termes de firewall ou au niveau de la ligne ADSL). L’institution a mis en place une procédure afin de pouvoir identifier un accès frauduleux, une utilisation abusive de données personnelles ou de déterminer l’origine d’un incident.
L’accès VPN est sécurisé avec blocage de sécurité.
L’utilisation d’outils informatiques tels que teamviewer est strictement limité.
Aucun logiciel ni programme ne peut être installé sans l’accord préalable de l’administrateur.
Utilisation du courriel
L’institution fonctionne avec un nom de domaine, via un sous-traitant garantissant un service payant sécurisé, prenant en compte les évolutions technologiques.
Les courriels indésirables peuvent être bloqués à deux niveaux : via la sécurisation mise en place par notre sous-traitant et via un antivirus personnel géré par l’institution.
Chaque collaborateur dispose d’un mot de passe personnel et a reçu les consignes habituellement communiquées par les services informatiques relatives aux caractéristiques recommandées pour un mot de passe et la durée de son utilisation.
Accès à la plateforme informatique
Les clients pour lesquels nous travaillons en sous-traitance, dispose d’un accès à une plateforme informatisée distincte. Cette plateforme est sécurisée et les données s’y trouvant sont cryptées. Nos clients, responsables de traitement, sont responsables de la gestion de leurs utilisateurs, mot de passe et log in. Chaque client n’a accès qu’à la partie de la plateforme informatique qui lui est réservée.
Sécurisation des postes de travail
Système antivirus, antispam, pare-feu et autre protection contre l’extérieur
Ces systèmes sont existants en redondance (via le service payant de notre sous-traitant mais également en interne).
Back up
Plusieurs back up journaliers sont effectués :
- Double serveur ;
- Sauvegarde interne supplémentaire dans un endroit particulièrement protégé contre les calamités naturelles ;
- Sauvegarde externe cryptée.
Archivage
Seules les données en version papier sont archivées dans un local externe à l’institution.
Autres mesures
La connexion de supports mobiles (clé USB, disque dur externe,…) n’est autorisée qu’avec l’accord préalable de l’administrateur Il en va de même pour l’exécution d’applications téléchargées.
Sécurisation de l’informatique mobile
Seuls certains collaborateurs bénéficient de PC portables. Ceux-ci sont sécurisés par un mot de passe. Une procédure interne est également prévue en cas de perte ou de vol du portable.
Les règles de sécurisation des mots de passe et d’accès à distance ont été explicitées ci-avant.
Sauvegarde et prévention de la continuité d’activité
Le back up journalier des données du serveur permet une remise en route de l’ensemble des activités de l’institution endéans les 24 heures.
L’administrateur ou une personne déléguée teste régulièrement la restauration des sauvegardes.
Archivage de manière sécurisée
En ce qui concerne les données informatisées
A ce jour, aucun archivage n’est réalisé, et ce pour les raisons suivantes :
- Le coût de l’archivage est disproportionné par rapport aux données privées récoltées ;
- Les données récoltées sont indispensables tout au long de la relation contractuelle avec les personnes visées et ne peuvent donc être archivées tant que la relation contractuelle perdure ;
- Les données récoltées sont par ailleurs nécessaires dans le cadre d’un contrôle du travail effectué par l’institution et/ou des subventions octroyées à l’institution et doivent donc rester disponibles tant que la prescription n’est pas atteinte.
En ce qui concerne les données en version papier
Comme indiqué ci-avant, ces données sont archivées, au début de la 3e année suivant celle faisant l’objet dudit archivage, dans un local externe à l’institution.
Encadrement de la maintenance et de la destruction des données
Le programme utilisé par l’institution est mis à jour et testé par le sous-traitant, auteur dudit programme, sur la base de données appartenant au sous-traitant. Les tests ne sont donc pas effectués sur la base des données dont dispose l’institution. Le sous-traitant transmet une mise à jour de son programme à l’institution lorsque ses tests sont concluants.
La gestion informatique de l’institution est supervisée par un administrateur interne ainsi que par un service informatique externe, ce qui garantit un double contrôle.
Protection des locaux
La sécurisation des locaux, que ce soit les endroits où se trouvent les serveurs, ou les bureaux où se trouvent les données personnelle « version papier »,… est effective :
- Codes d’accès aux locaux ;
- Système alarme intrusion, entre autres.
Chiffrement, garantie de l’intégrité, signature
La plateforme informatique mise à disposition des clients, responsables de traitement, dans le cadre de notre activité de gestionnaire social et fiscal est sécurisée et les données sont cryptées.
Désignation d’un délégué de protection des données (DPD ou DPO)
Bien que l’institution ne gère pas de données sensibles et qu’elle ne remplit pas les conditions légales pour désigner un DPD, elle a néanmoins pris l’option de désigner un délégué à la protection des données parmi ses collaborateurs.
Droit des personnes dont des données personnelles ont été collectées et traitées
exclusivement dans notre rôle de responsable de traitement
Toute personne ayant communiqué des données personnelles, y compris les travailleurs de l’institution pour leurs propres données, disposent des protections suivantes :
Droit d’accès et de rectification des données
A tout moment, vous pouvez prendre contact avec Rudi ROSSI, associé (rudi@cmgrossi.be ou 082/61.29.61) afin de connaître les données personnelles dont dispose l’institution, la façon dont ces données sont conservées. A ce droit d’accès est lié un droit de rectification s’il s’avère que ces données sont obsolètes.
Droit de portabilité
Chaque personne concernée a le droit, pour ce qui le concerne :
- de recevoir ses propres données dans un format structuré, couramment utilisé et lisible par une machine (PC) ;
- et si c’est techniquement possible, d’obtenir que les données soient directement transmises à un autre responsable de traitement (ceci ne vise que les données dont le responsable de traitement dispose en raison du consentement écrit de la personne concernée et pour lesquelles le traitement est effectué à l’aide de procédés automatisés).
Droit à l’effacement (ou droit à l’oubli numérique)
Toute personne concernée a le droit d’obtenir l’effacement de ses données dans les meilleurs délais dans les cas suivants :
- les données à caractère personnel ne sont plus nécessaires au regard des finalités poursuivies ;
- elle retire le consentement sur lequel est fondé le traitement ;
- elle s’oppose au traitement de ses données à des fins de prospection ;
- les données ont fait l’objet d’un traitement illicite ;
- les données ont été collectées dans le cadre de l’offre directe de service à un enfant de moins de 16 ans.
Le droit à l’effacement ne concerne donc pas les données personnelles récoltées dans le cadre de la gestion sociale et fiscale des travailleurs salariés.
Pour toute question…
Pour toute question relative au respect, par notre institution, du RGPD et de la loi du 08/12/1992, vous pouvez contacter la direction à l’adresse courriel suivante :
rudi@cmgrossi.be
Vous pouvez également vous adresser à l’Autorité de Protection des Données, rue de la presse 35 à B-1000 Bruxelles – tel. 02/274.48.00.
Ce document détaillant notre politique de sécurité informatique et de l’information est un document unique dans nos rôles :
- de responsable de traitement ;
- de sous-traitant de nos clients dans nos missions de gestionnaire social et fiscal.
Veillez toutefois à vous adresser prioritairement au responsable de traitement de vos données personnelles.