top of page

Politique relative à la protection des données

Table des matières

1.         Introduction : la politique de MAÂT pour la protection des données.

2.         Cadre conceptuel

3.         Champ d’application de la politique de protection des données menée par MAÂT.

3.1       Champ d’application matériel

3.2       Champ d’application personnel

4.         Finalité générale du traitement des données.

4.1       Licéité.

4.2       Loyauté et transparence.

4.3       Objectif légitime.

4.4       Minimisation des données.

4.5       L’exactitude.

4.6       La limitation de la conservation.

4.7       L’intégrité et la confidentialité.

4.8       Responsabilité.

5.         Obligations de MAÂT en tant que responsable du traitement.

5.2       Prise de mesures pour assurer la sécurité du traitement

5.3       La tenue d’un registre des activités de traitement

5.4       Réalisation d’une analyse d’impact relative à la protection des données.

5.5       Respect des droits de la personne concernée.

5.6       Mise en place d’un système de signalement d’incidents.

5.7       Travailler avec des contrats de sous-traitance.

5.8       Contrôle de l’exécution des tâches à accomplir sous la responsabilité de MAÂT.

6.         Responsabilités relatives au traitement de données à caractère personnel

1. Introduction : la politique de MAÂT pour la protection des données

Durant l’exercice de nos activités, nous traitons des données à caractère personnel de nos clients, partenaires, travailleurs et collaborateurs, participants à nos formations et évènements, etc. Nous le faisons avec le plus grand soin et dans le respect de leur vie privée.

 

Avec la présente politique, MAÂT souhaite d’abord formuler des objectifs clairs et précis quant à la façon dont les droits et libertés de des personnes (« concernées ») seront préservés lorsque MAÂT traite des données à caractère personnel, tant sur papier que dans l’environnement numérique.

 

Vous y trouverez en premier lieu des objectifs clairement définis quant notre politique en matière de protection des données, sous l’angle des réglementations applicables dont le Règlement général sur la protection des données fixe le cadre général.

 

Nous détaillerons les organes de décision et les modalités d’exécution de notre politique, de même que les responsabilités qui vont de pair avec l’exécution de cette politique.

 

Nous attirons votre attention sur la nécessité de lire attentivement la présente Politique de confidentialité. Si vous avez d’autres questions, n’hésitez pas à nous contacter à l’adresse du correspondant à la protection des données : customer@maât-belgium.com

 

Nous pouvons apporter des modifications à la politique de MAÂT notamment pour nous conformer à de nouvelles obligations légales. Nous encourageons donc à consulter régulièrement la présente politique afin d’être informé de la manière dont nous traitons les données à caractère personnel.

2. Cadre conceptuel

Différents concepts empruntés au cadre législatif établi pour la protection des données seront utilisés dans la présente politique. Ils seront brièvement expliqués ci-après.

Règlement général sur la protection des données : le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE. Ce règlement est souvent également appelé GDPR (General Data Protection Regulation) ou RGPD en français.

 

Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (et donc pas une personne morale). Est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Les données qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires sont donc également des données à caractère personnel. Les informations anonymes qui ne peuvent en aucune façon être reliées à une personne ne tombent pas sous l’application du Règlement général sur la protection des données.

 

Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

 

Personne concernée : la personne physique identifiée ou identifiable dont les données sont traitées.

 

Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

 

Responsables conjoints du traitement : lorsqu’une personne physique ou morale agit conjointement avec une autre personne physique ou morale en tant que responsable du traitement. Il n’est pas nécessaire que les deux responsables exercent la même influence ou que chacun d’eux soit à même de satisfaire seul aux obligations du Règlement général sur la protection des données. L’élément déterminant est qu’ils aient tous les deux un pouvoir de décision, même si ce n’est pas dans la même mesure et s’ils n’ont pas le même accès aux données à caractère personnel.

 

Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

 

Sécurité de l’information : la sécurité de l’information comprend l’ensemble des mesures techniques et organisationnelles qui contribuent au respect du niveau de sécurité fixé dans la politique de sécurité. Ces mesures doivent avant tout garantir l’intégrité, la disponibilité et la confidentialité des données.

 

Protection des données : la protection des données vise les règles à établir et à respecter concernant la protection des personnes physiques à l’égard du traitement des données à caractère personnel et la libre circulation de ces données, conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et aux autres réglementations qui fixent des critères pour le traitement de ces données à caractère personnel.

 

Correspondant à la protection des données (CPD) : personne de contact au sein de MAÂT qui veille au respect du Règlement général sur la protection des données, aide et conseille le responsable du traitement en la matière.

 

Autorité de protection des données : le « successeur » de la Commission vie privée dans la Loi relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel. L’Autorité de protection des données est responsable du contrôle du respect des principes de base de la protection des données à caractère personnel.

3. Le champ d’application de la politique de protection des données menée par MAÂT

La politique de protection des données de MAÂT s’applique au traitement de données à caractère personnel dans le cadre duquel MAÂT agit en tant que responsable du traitement (seule ou avec d’autres) ou sous-traitant. 

 

3.1    Champ d’application matériel

La politique s’applique au traitement de données à caractère personnel. Nous entendons par là non seulement les données à caractère personnel des clients, mais par exemple aussi celles de nos collaborateurs, salariés ou non, de nos partenaires, etc. Le Règlement général sur la protection des données ne s’applique pas aux données anonymisées, à savoir les données qui ne concernent pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée n’est pas ou plus identifiable.

La politique s’étend à tout traitement (semi-)automatisé ainsi qu’aux traitements manuels si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier. 

La politique s’applique à toutes les finalités du traitement. Le champ d’application de la politique de protection des données inclut aussi bien les données à caractère personnel traitées pour l’organisation de concours et d’événements, à des fins de rapports, pour l’administration des collaborateurs, l’obtention de données financières, la réalisation de contrôles de qualité ou d’évaluation de risques, que les données à caractère personnel traitées dans le cadre d’une enquête judiciaire ou d’analyses médico-légales.

3.2    Champ d’application personnel

La présente politique a été écrite pour quiconque traite des données à caractère personnel sur instruction de MAÂT, par exemple la direction, le management, les membres du personnel, mais aussi tout collaborateur ou partenaire. Elle sera diffusée par le biais de différents canaux. 

4. Finalité générale du traitement des données

Le Règlement général sur la protection des données fixe le cadre dans lequel le traitement de données à caractère personnel peut être effectué d’une manière licite. Il pose les principes généraux auxquels un traitement de données à caractère personnel doit satisfaire et impose différentes obligations à respecter lorsqu’il est procédé à un traitement de données à caractère personnel.

Le respect des conditions fixées dans le Règlement général sur la protection des données constitue l’objectif de la politique de protection des données de MAÂT.

Le Règlement général sur la protection des données impose le respect d’une série de principes lorsque des données à caractère personnel sont traitées :

 

4.1 Licéité

 

La licéité de tous les traitements de données à caractère personnel dont MAÂT est responsable est gérée et évaluée. Nous utilisons pour ce faire les conditions générales du Règlement général sur la protection des données. Pour le traitement de catégories particulières de données à caractère personnel, nous vérifions en outre si les conditions spécifiques énumérées par le législateur sont applicables.

 

Outre les règles énumérées dans le Règlement général sur la protection des données concernant la licéité, nous respectons également les règles européennes en vigueur sur le traitement de données à caractère personnel. Les règles en matière de traitement de données à caractère personnel dans des flux financiers et dans le cadre de la sécurité sociale sont également suivies, de même que les règles relatives à l’administration du personnel et des salaires.

 

4.2 Loyauté et transparence

 

MAÂT tient à appliquer le principe de l’« utilisation loyale » dans le traitement de données à caractère personnel. Dans cette démarche, nous nous efforcerons de garantir un traitement de données loyal à nos clients, collaborateurs et partenaires, etc. Nous communiquerons toujours de manière claire et honnête sur le traitement de données à caractère personnel les concernant.

 

4.3 Objectif légitime

 

Nous traitons des données à caractère personnel dans le cadre de la mission que MAÂT s’est fixée. Nous visons plus particulièrement nos abonnés, nos travailleurs, nos partenaires et notre société. Ce traitement est effectué selon des finalités bien déterminées et explicitement définies que nous communiquons clairement aux parties prenantes et que nous reprenons dans un registre des activités de traitement. Nous veillons à ce que ces finalités soient toujours justifiées et conformes à notre spécificité juridique, à notre vision et à notre mission.

 

Lorsque le traitement de ces données à caractère personnel est poursuivi à d’autres fins, nous veillons à ce que ces autres finalités soient compatibles. Cela signifie concrètement que nous utiliserons ultérieurement les données pour le développement de nouveaux projets, avec de nouvelles finalités et de nouveaux groupes cibles.

 

Pour le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, nous garantissons les droits et libertés de la personne concernée et nous appliquons, en sus des règles européennes, les réglementations fédérale et flamande. Les garanties prévues veillent à ce que des mesures techniques et organisationnelles soient prises pour garantir la minimisation des données. Lorsque nous effectuons ces traitements, nous nous efforçons d’éliminer autant que possible les données d’identification (anonymisation). Nous donnons la préférence au traitement ultérieur de données à caractère personnel.

 

4.4 Minimisation des données

 

Lorsque nous traitons des données à caractère personnel, nous veillons à ce que les données que nous traitons soient adéquates, pertinentes et nécessaires au regard des finalités pour lesquelles elles sont traitées. Dans tous nos traitements,, nous vérifierons si les principes de minimisation sont respectés.

 

4.5 L’exactitude

 

MAÂT s’efforce de traiter et de tenir soigneusement à jour les données à caractère personnel traitées. S’il y a une probabilité que les données à caractère personnel ne soient pas exactes ou actualisées, nous prendrons des mesures supplémentaires pour rectifier ou effacer les données si nécessaire. Si l’exactitude des données est contestée par la personne concernée, nous prendrons des décisions réfléchies, conformément au droit applicable, pour garantir l’exactitude des données.

 

4.6 La limitation de la conservation

 

Nous ne conserverons pas les données à caractère personnel plus longtemps que nécessaire. Nous évaluons la nécessité de la conservation, compte tenu des obligations légales applicables à MAÂT. Lorsque des données à caractère personnel sont archivées, nous respectons les dispositions légales et administratives applicables en la matière et nous contrôlons l’utilisation de ces données à caractère personnel dans nos processus de traitement.

 

4.7 L’intégrité et la confidentialité

 

MAÂT prend les mesures techniques et organisationnelles appropriées pour garantir une sécurité appropriée des données à caractère personnel. Avec ces mesures, nous protégeons notamment les données à caractère personnel contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle.

 

4.8 La responsabilité (accountability)

 

En tant que responsable du traitement, MAÂT justifiera toujours chaque traitement effectué. Nous remettrons, sur demande, toutes les pièces justificatives à l’Autorité de protection des données.

Cette obligation de justification fera l’objet d’une surveillance et d’un contrôle internes et devra être assumée suivant les principes légaux en vigueur.

5. Obligations de MAÂT en tant que responsable du traitement

Plusieurs tâches ont été définies pour la réalisation des objectifs de la politique. Cette liste de tâches est conforme à toutes les obligations légales auxquelles MAÂT doit se conformer (principes de traitement) et dont MAÂT doit pouvoir démontrer le respect (principe de responsabilité).

Chaque tâche, telle que décrite ci-dessous, est soutenue par un processus opérationnel. Et chaque processus opérationnel doit être assorti de normes et de directives de mise en œuvre. Celles-ci complètent la politique de protection des données et en font intégralement partie. 

La responsabilité générale de l’exécution des obligations légales en tant que responsable du traitement incombe à MAÂT, représentée par le Conseil d’administration. 

5.1    Prise de mesures pour assurer la sécurité du traitement

Les données à caractère personnel ne peuvent être traitées que si des mesures techniques et organisationnelles appropriées ont été prises pour garantir la disponibilité, l’intégrité et la confidentialité des données à caractère personnel traitées.

5.2    La tenue d’un registre des activités de traitement

MAÂT gère un registre de toutes les activités de traitement de données à caractère personnel. La gestion du registre comprend l’établissement du registre, son actualisation permanente et les mesures de contrôle qui lui sont applicables. Ce registre tient lieu d’instrument de justification dans le cadre de la responsabilité à l’égard de l’Autorité de protection des données, il n’est pas destiné aux personnes concernées ni au public. Le registre est tenu sous forme électronique.

Le registre des traitements sera chaque fois adapté avant l’organisation d’une nouvelle activité de traitement ou d’une activité de traitement modifiée. 

Le contenu du registre est déterminé par les dispositions légales qui lui sont applicables, complétées par des éléments qui contribuent au respect d’autres obligations, tels que le contrôle de la limitation des finalités, la vérification de l’existence d’un motif d’admissibilité valable d’un traitement, la vérification des mesures prises pour la minimisation des données, la protection des données dès la conception ou la nécessité d’effectuer une analyse d’impact relative à la protection des données.

La complétude du registre des traitements est contrôlée.

5.3    Réalisation d’une analyse d’impact relative à la protection des données

Avec l’entrée en vigueur du Règlement général sur la protection des données, une analyse de l’impact des opérations de traitement sur la protection des données à caractère personnel (data protection impact assessment ou DPIA) doit être effectuée pour les traitements de données à caractère personnel qui, compte tenu de la nature, de la portée, du contexte et des finalités de ceux-ci, sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées. 

MAÂT dressera une liste des critères qui peuvent être utilisés pour déterminer si un traitement envisagé est « susceptible d’engendrer un risque élevé » pour ses clients et autres personnes concernées. Ce faisant, nous tiendrons compte de l’utilisation des nouvelles technologies dans le cadre de nos activités. Lorsqu’il apparaît, sur la base des critères utilisés, que le traitement envisagé représente un risque élevé, une analyse d’impact relative à la protection des données sera effectuée avant le traitement. En fonction du résultat de cette analyse, les mesures nécessaires seront prises pour limiter autant que possible le risque de violation durant le traitement.

Outre la liste des critères utilisés pour l’exécution de l’analyse d’impact relative à la protection des données, MAÂT gère également les processus de démarrage, de contrôle, d’adaptation et de réalisation de ces analyses.

5.4    Respect des droits de la personne concernée

MAÂT est tenue de prévoir les processus opérationnels nécessaires pour veiller à ce que la personne concernée soit informée du traitement. Les informations fournies comprendront tous les éléments imposés par la loi, y compris (sans s’y limiter) : les coordonnées du correspondant à la protection des données au sein de MAÂT, la finalité du traitement et les destinataires des données. 

Les processus opérationnels relatifs à l’exercice des droits de la personne concernée (le droit d’accès, le droit à l’obtention d’une copie, à l’effacement des données, le droit de rectification, le droit à la limitation du traitement, à la notification, à la portabilité des données) sont documentés. 

Conformément à la réglementation relative à la protection des données à caractère personnel et dans les limites de cette dernière, les personnes concernées ont notamment les droits suivants :

-    Droit de retrait du consentement : Lorsque le traitement se fonde sur votre consentement, la personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement n’affecte pas la licéité du traitement déjà effectué avant le retrait. 

-    Droit d’opposition : dans certaines circonstances, la personne concernée a le droit de s’opposer, pour certains motifs liés à votre situation particulière, au traitement de vos données à caractère personnel.

-    Etc.

Toute demande introduite par une personne concernée relativement à l’exercice de ses droits, doit être adressée à l’adresse suivante courriel suivante : customer@maât-belgium.com ou par courrier à l’adresse postale suivante : 

MAÂT  
Avenue de Boetendael, 70
1180 Bruxelles (Uccle)
BELGIQUE

MAÂT s’engage à examiner toute demande ou plainte et à y répondre en temps utile et, en tout état de cause, dans un délai d’un mois suivant la réception de la demande. Si nécessaire, ce délai peut être prolongé, compte tenu de la complexité et du nombre de demandes.

5.5    Mise en place d’un système de signalement d’incidents

En vertu du Règlement général sur la protection des données, MAÂT est également tenue de mettre en place un système de signalement d’incidents pour l’enregistrement en interne de violations relatives au traitement de données à caractère personnel. 

MAÂT est par conséquent tenue de prendre des mesures pour l’identification (préventive) des violations, le signalement de ces violations par les personnes qui participent au processus de traitement et le règlement des incidents après leur signalement.

Les mesures liées au règlement d’incidents comprennent : le signalement de l’incident, le processus de règlement de l’incident, la communication interne sur l’incident, l’enregistrement de violations dans un registre interne, la communication à l’Autorité de protection des données et à la personne concernée conformément au Règlement général sur la protection des données, y compris les critères qui déterminent quand cette communication doit avoir lieu.

5.6    Travailler avec des contrats de sous-traitance

Lorsqu’un traitement doit être effectué pour son compte, MAÂT fait uniquement appel à des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.

MAÂT doit, pour ces traitements, conclure des contrats de sous-traitance qui satisfont aux exigences du Règlement général sur la protection des données. MAÂT contrôle activement le respect de ces dispositions contractuelles.

Si le traitement est effectué dans le cadre d’une responsabilité commune, des accords clairs et précis seront passés pour garantir le respect des droits de la personne concernée et du devoir d’information, à moins que cette responsabilité ne soit prévue dans la législation ou les réglementations. Les responsabilités respectives seront en outre clairement documentées et communiquées à la personne concernée.

 

5.7    Contrôle de l’exécution des tâches à accomplir sous la responsabilité de MAÂT

MAÂT est également tenue de donner des instructions et des directives précises en fonction des responsabilités que les collaborateurs de MAÂT ont à assumer dans le cadre de traitements. Ces instructions sont communiquées par le biais de procédures, de sessions de sensibilisation, de descriptions de fonctions et de formations. Le respect des obligations est assuré au moyen du règlement de travail (pour les travailleurs), d’autres documents (pour d’autres collaborateurs indépendants), etc. 


Les accords passés (par écrit) avec un sous-traitant incluent notamment l’énumération des tâches spécifiques du sous-traitant dans le processus de traitement, les mesures de sécurité à prendre et l’obligation d’aider MAÂT à s’acquitter des obligations qui lui incombent en vertu de la présente politique. MAÂT contrôle activement le respect de ces dispositions contractuelles, en insérant par exemple dans le contrat conclu avec le sous-traitant des modalités qui permettent de contrôler l’information et les systèmes de traitement de données à caractère personnel dont MAÂT est responsable et d’effectuer des inspections.
 

6. Responsabilités relatives au traitement de données à caractère personnel

La responsabilité finale du respect des obligations légales concernant la protection des données en tant que responsable du traitement incombe à MAÂT, représentée par le Conseil d’administration.

 

Dans la mise en œuvre de la politique de protection des données, le Conseil d’administration valide les objectifs de la politique et veille au respect des obligations légales.

bottom of page