Ce modèle de « politique de protection des données » décrit la manière dont l’entreprise/l’organisation gère le traitement des données à caractère personnel : quelles données à caractère personnel sont traitées, à quelles fi ns, à qui sont-elles transférées, quels sont les droits des personnes concernées, etc. Il reprend la politique de l’entreprise (ou du groupe d’entreprises) en matière de protection des données.
This Cookie Policy is available in English, French, and Dutch. In case of any differences in interpretation or meaning, the Dutch version takes precedence and will be legally binding.
Dit privacybeleid is beschikbaar in het Engels, Frans en Nederlands. In geval van interpretatieverschillen of betekenisverschillen heeft de Nederlandse versie voorrang en is juridisch bindend.
Cette politique de confidentialité est disponible en anglais, français et néerlandais. En cas de divergence d’interprétation ou de signification, la version néerlandaise prévaut et a force obligatoire.
POLITIQUE DE PROTECTION
DES DONNÉES
Version: 1.0
Date: 7 juillet, 2025
Date de révision: -
1. Introduction
Dans l’exercice de ses activités Nalantis NV traite diverses données, tant des données commerciales qu’à caractère personnel. La présente politique porte sur le traitement de données à caractère personnel par Nalantis NV. Les données à caractère personnel de diverses catégories de personnes identifi ables sont traitées, par exemple les travailleurs, les clients et les fournisseurs, les utilisateurs du site web, les abonnés et autres parties prenantes.
Nalantis NV comprend l’importance de la protection des données à caractère personnel et les préoccupations de ses travailleurs, (personnes de contact des) clients, (personnes de contact des) fournisseurs et autres personnes avec lesquelles elle entretient des contacts en termes de traitement de leurs données à caractère personnel. Lorsqu’elle traite des données à caractère personnel, Nalantis NV tient toujours soigneusement compte de leur protection.
Diverses personnes au sein de l’organisation peuvent avoir accès aux données personnelles de ses travailleurs (le terme travailleur doit notamment être compris comme : les managers et tous ceux qui travaillent pour Nalantis NV, y compris les prestataires de services et consultants indépendants, les travailleurs temporaires tels que les intérimaires, stagiaires, étudiants, bénévoles, anciens travailleurs) et d’autres personnes (clients et fournisseurs) dans l’exercice de leur fonction. Chacune de ces personnes au sein de Nalantis NV est liée par la présente politique de protection des données à caractère personnel.
Le règlement applicable en matière de protection des données impose des obligations à Nalantis NV concernant la façon dont elle doit traiter les données. De plus, la réglementation prévoit des droits pour les personnes dont les données sont traitées, pour qu’elles aient plus de contrôle sur leurs données à caractère personnel.
La présente politique donne un aperçu des obligations générales que l’entreprise et ses travailleurs se doivent de respecter dans le cadre de la réglementation en matière de protection des données. Le respect de la présente politique est important pour les motifs suivants :
o le respect de la réglementation en matière de protection des données est une obligation légale. Le non-respect de ces devoirs peut générer une responsabilité, des sanctions et des amendes.
o Le respect de la réglementation en matière de protection des données débouche sur un traitement plus correct et effi cace des données à caractère personnel.
o Le respect de la réglementation en matière de protection des données forme la base d’une relation de confi ance entre Nalantis NV et ses relations d’affaires, les consommateurs et ses travailleurs.
2. Champ d’application
La présente politique s’applique à Nalantis NV qui traite les données à caractère personnel et comprend les lignes directrices auxquelles tout traitement de données doit se conformer, que ce soit par un procédé totalement ou partiellement automatisé, et qui font ou feront partie d’un fi chier structuré.
La présente politique est élaborée de façon à constituer un standard minimum uniforme pour la protection des données à caractère personnel applicable à l’ensemble du groupe d’entreprises de Nalantis NV. La présente politique sera appliquée au sein du groupe d’entreprises, sauf si une autre législation contraignante en matière de protection des données à caractère personnel impose des obligations et des conditions plus strictes.
3. Data Protection Officer¹ / Point de contact pour la protection des données à caractère personnel
Le groupe d’entreprises a nommé un Data Protection Officer, choisi en fonction de ses qualités professionnelles et, notamment, de son expertise dans le domaine de la législation en matière de protection des données. Le Data Protection Officer exerce ses tâches en matière de protection des données à caractère personnel en toute indépendance. Cela signifi e qu’il n’est pas lié par les instructions de ses supérieurs directs. Outre les conseils à l’entreprise, le Data Protection Officer veillera au respect par l’entreprise de la législation en matière de protection des données, de la présente politique et d’éventuelles autres politiques apparentées.
Le groupe d’entreprises a nommé un Data Protection Officer pour le groupe. Il est joignable par e-mail dpo@nalantis.com.
IPour l’exercice de vos droits, veuillez consulter l’article 8 de la présente politique.
4. Définitions
La législation applicable en matière de protection des données est une matière abstraite, qui a son propre langage. Vous trouverez ci-dessous quelques défi nitions qui vous aideront à mieux comprendre la terminologie et, par extension, la présente politique.
a. Législation en matière de protection des données
Diverses lois peuvent s’appliquer, en fonction du cas concret d’application du traitement des données à caractère personnel.
Les principes et obligations de base sont contenus dans le Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Cette réglementation est également dénommée Règlement général sur la protection des données (RGDP) ou General Data Protection Regulation (GDPR). La Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques s’applique dans des cas particuliers (par exemple le traitement de données de localisation ; l’utilisation de cookies).
Outre la réglementation européenne, la législation nationale spécifi que sur la protection des données s’applique également, par exemple la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et la loi du 13 juin 2005 relative aux communications électroniques.
b. Données à caractère personnel
Les données à caractère personnel sont toute information se rapportant à une personne physique identifi ée ou identifi able, également dénommée la «personne concernée». Une personne est réputée être identifi able lorsqu’une personne physique peut être identifi ée, directement ou indirectement, notamment au moyen d’un identifi ant (un nom, un numéro d’identifi cation, des données de localisation, un identifi ant en ligne) ou d’un ou plusieurs éléments spécifi ques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
c. Responsable du traitement
Le responsable du traitement est une personne physique ou morale (une entreprise, par exemple), une autorité publique, un service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine la fi nalité et les moyens du traitement de données à caractère personnel.
Par exemple, Nalantis NV est une personne morale, responsable du traitement des données à caractère personnel de ses travailleurs dans le cadre de sa gestion du personnel.
d. Sous-traitant
Le sous-traitant est une personne physique ou morale, une autorité publique, un service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement et sur instruction de ce dernier.
e. Traitement de données à caractère personnel
Un traitement de données à caractère personnel est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés (par exemple logiciel) et appliquées à des données ou des ensembles de données à caractère personnel, par exemple la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modifi cation, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Un exemple de traitement de données à caractère personnel est la collecte et le stockage, dans le logiciel de gestion de la relation client (CRM) de l’organisation, ou dans un fi chier clients au format papier, des coordonnées des personnes de contact chez ses clients.
f. Fichier
Un fi chier est tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
Cela concerne donc à la fois les fi chiers électroniques structurés au moyen d’un logiciel ou d’applications dans le cloud et les dossiers et fi chiers papier, pour autant qu’ils soient organisés et structurés de façon logique par une connexion à des personnes ou qu’ils soient liés à des personnes à l’aide de critères.
5. Principes applicables à la collecte et au traitement des données à caractère personnel
En plus d’avoir son propre langage, la législation en matière de protection des données prescrit plusieurs principes de base que tout responsable du traitement doit respecter pour se conformer à cette législation. En cas de doute sur l’application de ces principes dans un cas concret, n’hésitez pas à contacter le Data Protection Officer pour obtenir des précisions, conformément à la procédure décrite à l’article 8.
La législation en matière de protection des données prescrit que les données à caractère personnel doivent être traitées dans le respect des divers principes de base et des conditions qui en découlent.
a. Licéité
La législation en matière de protection des données prescrit que les données à caractère personnel doivent être traitées de façon licite et loyale à l’égard de la personne concernée.
La régularité du traitement implique l’existence d’un fondement juridique. En principe, les données à caractère personnel peuvent uniquement être traitées si :
o la personne concernée donne son consentement. L’organisation devra au moins informer préalablement la personne concernée de la fi nalité pour laquelle les données sont demandées, quelles données seront collectées pour traitement, du droit de retirer le consentement, des conséquences possibles pour la personne concernée dans le cadre de la prise de décision et le profi lage individuels automatisés, ainsi que du transfert des données vers des pays tiers.
o Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.
o Le traitement est nécessaire pour satisfaire à une obligation légale imposée à l’organisation.
o Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
o Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investie l’organisation qui intervient en qualité de responsable du traitement.
o Le traitement est nécessaire aux fi ns des intérêts légitimes poursuivis par l’organisation en qualité de responsable du traitement ou par un tiers, à moins que ne prévalent les droits fondamentaux et les libertés de la personne concernée qui exigent une protection des données à caractère personnel.
Vous pouvez à tout moment révoquer le consentement que vous avez donné à l’organisation pour le traitement de vos données à une fi nalité de traitement déterminée. L’organisation cessera alors de traiter vos données, pour le traitement desquelles vous avez donné votre consentement, et elle vous informera des conséquences possibles du retrait de votre consentement. Si l’organisation traite vos données à caractère personnel à d’autres fi nalités et qu’elle invoque pour ce faire d’autres motifs juridiques, elle pourra continuer à traiter vos données.
Lorsqu’elle traite des données à caractère personnel, l’organisation garantit qu’elle se fonde toujours au moins sur l’un des fondements juridiques susmentionnés. Si vous avez des questions sur les fondements juridiques invoqués par l’organisation, n’hésitez pas à la contacter en suivant la procédure mentionnée à l’article 8.
Certaines catégories de données à caractère personnel ont un caractère sensible, de sorte que la législation en matière de protection des données a prévu un régime plus strict pour ces catégories de données (également dénommées « données sensibles »). Il s’agit des données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données génétiques, les données biométriques permettant d’identifi er une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne. Les données relatives aux infractions ou condamnations pénales constituent également une catégorie particulière.
En principe, le traitement de ces données sensibles est interdit, sauf si l’organisation peut invoquer l’une des exceptions. Dans un nombre limité de cas, l’organisation doit traiter des données sensibles, auquel cas la personne concernée sera préalablement informée. Dans le cas du traitement à ces fi nalités spécifi ques, l’organisation devra informer préalablement et en détail la personne concernée des fi nalités spécifi ques et du fondement du traitement. Pour plus d’informations à propos du traitement des données sensibles par l’organisation, n’hésitez pas à contacter cette dernière, conformément à la procédure défi nie à l’article 8 de la présente politique.
b. Loyauté
L’organisation garantit que les données à caractère personnel seront traitées :
o pour des fi nalités déterminées, explicites et légitimes, et ne seront pas traitées ultérieurement d’une manière incompatible avec ces fi nalités initiales pour lesquelles les données ont été collectées. L’organisation devra à tout moment communiquer clairement les fi nalités avant de débuter le traitement.
o Dans les limites de ce qui est nécessaire pour les fi nalités pour lesquelles les données ont été collectées. Quand c’est possible, l’organisation anonymisera ou pseudonimisera les données afi n de limiter au maximum l’impact pour la personne concernée. Cela signifi e que le nom ou l’identifi ant sera remplacé de manière à rendre l’identifi cation d’une personne diffi cile, voire impossible.
o Pendant une durée limitée et pour autant que ce soit nécessaire pour la fi nalité concernée.
o Correctement et, si nécessaire, les données seront mises à jour. L’organisation adoptera toutes les mesures nécessaires pour effacer ou corriger les données à caractère personnel, compte tenu des fi nalités du traitement.
c. Transparence
En principe, l’organisation traite les données à caractère personnel directement fournies par la personne concernée. L’organisation qui traite les données à caractère personnel de la personne concernée devra systématiquement lui communiquer les informations suivantes :
o l’identité et les coordonnées du responsable du traitement;
o si un Data Protection Officer a été désigné, ses coordonnées;
o la fi nalité du traitement et son fondement légal;
o si le responsable du traitement invoque un intérêt légitime pour procéder au traitement des données à caractère personnel, une explication de cet intérêt;
o les (catégories de) destinataires des données à caractère personnel;
o le transfert de données à caractère personnel vers des pays tiers (en dehors de l’UE) ou des organisations internationales (+ sur quelle base);
o la durée de conservation des données ou les critères en vertu desquels la durée de conservation est défi nie;
o les droits de la personne concernée (notamment le droit de retirer son consentement);
o le droit d’introduire une réclamation auprès de l’autorité de contrôle;
o une justifi cation si la communication des données à caractère personnel est une obligation contractuelle ou légale;
o la logique qui sous-tend les procédés de prise de décisions automatisés et leurs conséquences juridiques possibles pour la personne concernée;
o si l’organisation reçoit des données à caractère personnel de la part d’un tiers, elle doit informer clairement la personne concernée des catégories de données ainsi reçues et lui communiquer l’identité de ce tiers.
Si la personne concernée dispose déjà de toutes les informations, l’organisation ne l’informera pas inutilement du traitement de ses données à caractère personnel.
Si l’organisation traite les données à caractère personnel à d’autres fi nalités, incompatibles avec les fi nalités pour lesquelles elles ont initialement été collectées (la nouvelle fi nalité n’est pas décrite dans la note d’information initiale et la personne concernée ne peut deviner que ses données à caractère personnel seront également traitées à cette nouvelle fi n), l’organisation prendra toutes les mesures nécessaires pour traiter ces données de façon licite et elle en informera la personne concernée.
L’organisation peut fournir les informations tant sur une base collective qu’individuelle et elle veillera toujours à ce qu’elles soient rédigées dans un langage compréhensible et simple.
Certains textes législatifs peuvent contenir des exceptions ou imposer des exigences complémentaires pour ce qui est de la communication d’informations aux personnes concernées et auxquelles l’organisation doit se conformer. Ces dispositions légales contraignantes priment sur la présente politique.
d. Confi dentialité et intégrité
La société adopte les mesures techniques et organisationnelles requises pour garantir que le traitement des données à caractère personnel soit toujours effectué moyennant les garanties appropriées pour protéger les données contre tout accès non autorisé ou traitement illégal et contre la perte, la destruction ou des dégâts d’origine accidentelle. Lors du choix des mesures de sécurité appropriées, l’organisation a tenu compte de la nature, du contexte, de la fi nalité et de la portée du traitement, des risques possibles lors du traitement des données à caractère personnel, des coûts de mise en oeuvre des mesures et de l’état de la technique.
Ces mesures s’appliquent à l’accès physique aux données à caractère personnel, à l’accès à ces données par des ordinateurs, serveurs, réseaux ou autre matériel informatique, applications logicielles et bases de données. Outre les mesures techniques et organisationnelles, les travailleurs de l’entreprise qui, dans l’exercice de leur fonction, ont accès à des données à caractère personnel, sont tenus de respecter diverses obligations visant à garantir la confi dentialité et l’intégrité des données à caractère personnel visées à l’article 9 de la présente politique.
L’organisation assurera des formations à l’attention de ses travailleurs qui, dans l’exercice de leur fonction, seront amenés à traiter des données à caractère personnel sur instruction de l’organisation. Les travailleurs sont exclusivement autorisés à traiter les données à caractère personnel sur instruction de l’organisation ou s’ils y sont contraints par la loi. L’organisation mettra par ailleurs en place des droits d’accès pour que les travailleurs aient uniquement accès aux données dont ils ont besoin dans l’exercice de leur fonction. Les travailleurs qui ont accès aux données à caractère personnel signeront un contrat de confi dentialité.
L’organisation veillera à ce que des tiers qui reçoivent des données à caractère personnel de l’organisation appliquent la législation en matière de protection des données et la présente politique.
La Politique de sécurité contient une énumération générale des mesures de sécurité techniques et organisationnelles mises en place par le groupe d’entreprises2.
6. Transfert de données à caractère personnel
Dans certains cas, l’organisation peut être forcée de transmettre vos données à caractère personnel à des tiers bénéfi ciaires, tant au sein du groupe d’entreprises de l’organisation qu’en dehors de celui-ci. Dans tous les cas, les données à caractère personnel sont exclusivement transférées à ces bénéfi ciaires, qui procèdent au traitement à des fi nalités précises, sur la base du principe « need to know » (besoin d’en connaître). Lors du transfert, l’organisation adopte systématiquement les mesures de sécurité nécessaires, notamment à l’égard des bénéfi ciaires, afi n de garantir la confi dentialité et l’intégrité des données à caractère personnel.
Le transfert à des tiers peut adopter diverses formes décrites plus en détail ci-après.
a. Transfert au sein du groupe d’entreprises de l’organisation
Le transfert de données à caractère personnel au sein du groupe de sociétés de l’organisation est considéré comme un transfert à un tiers. Il ne peut dès lors intervenir que si l’organisation a respecté les divers principes et obligations imposés par la législation en matière de protection des données. Cela signifi e notamment que la personne concernée doit être informée du transfert et de son motif et que l’organisation émettrice doit pouvoir s’appuyer sur un fondement juridique (autorisation de la
personne concernée, exécution d’un contrat, intérêt justifi é, etc.) pour justifi er ce transfert. Lors de ce traitement ultérieur, l’organisation doit également respecter les autres principes énumérés à l’article 5 de la présente politique.
Si vos données personnelles sont transférées à des sociétés du groupe, mais situées en dehors de l'Espace économique européen (c'est-à-dire l'Union européenne, la Norvège, l'Islande et le Liechtenstein), le groupe de sociétés fournit les garanties appropriées décrites au point c.
b. Transfert à des collaborateurs
L’organisation peut demander à un tiers, un sous-traitant, de traiter des données à caractère personnel exclusivement pour le compte de l’organisation et sur instruction de cette dernière. Le sous-traitant ne peut traiter ces données à des fi ns propres indépendantes des fi nalités pour lesquelles l’organisation fait appel au sous-traitant.
L’organisation peut décider de collaborer avec ces sous-traitants, qui fournissent des services à la demande de l’organisation, notamment pour des agences de voyage, services de location, fournisseurs de conseils médicaux et autres conseils professionnels de la consultance, etc.
L’organisation fera uniquement appel à des sous-traitants et ne leur fournira des données à caractère personnel que moyennant la conclusion d’un contrat de sous-traitance conforme aux exigences légales. Le RGDP prescrit notamment que le contrat doit contenir une clause indiquant que le sous-traitant ne peut traiter les données à caractère personnel que sur instruction de l’organisation ; que le sous-traitant doit assister l’organisation à sa demande ; que les données doivent demeurer confi dentielles ; etc.
Une partie de ce contrat de sous-traitance porte également sur les mesures de sécurité que le sous-traitant doit mettre en oeuvre avant de traiter les données à caractère personnel et maintenir pendant toute la durée du traitement, pour garantir la confi dentialité et l’intégrité des données.
L’organisation adoptera les mesures nécessaires si elle constate le non-respect par ses travailleurs des obligations qui leur incombent en vertu du contrat.
Un contrat de sous-traitance standard est disponible chez le Data Protection Offi ce.
c. Transfert vers des pays tiers - en dehors de l’Espace économique européen
Il est également possible que l’organisation transfère vos données à caractère personnel à des parties établies dans des pays tiers, c’est-à-dire des pays situés en dehors de l’Espace économique européen (à savoir : l’Union européenne, la Norvège, l’Islande et le Liechtenstein).
Un tel transfert est possible si le pays où le destinataire est établi offre des garanties légales suffi santes pour la protection de vos données à caractère personnel et jugées appropriées par la Commission européenne. Dans les autres cas, l’organisation a conclu avec le destinataire un contrat type afi n qu’une protection comparable et équivalente à celle de l’Europe soit offerte.
Lorsque cela n’a pas eu lieu ou si ce n’est pas possible, l’organisation peut toujours transférer les données à caractère personnel de la personne concernée, moyennant l’obtention d’un consentement de cette dernière, dans les limites de la relation qu’elle entretient avec l’organisation. Afi n de permettre le transfert, et donc le traitement, dans ces cas également, l’organisation demandera le cas échéant à la personne concernée si elle consent à ce transfert occasionnel vers des pays tiers.
Si vous souhaitez obtenir de plus amples informations ou une copie des garanties en vigueur pour ces transferts internationaux de vos données à caractère personnel, vous pouvez toujours suivre la procédure défi nie à l’article 8.
7. Durée de conservation des données à caractère personnel
L’organisation ne conservera pas vos données à caractère personnels plus longtemps qu’il n’est nécessaire pour la fi nalité spécifi que pour laquelle elles sont collectées. Au terme de la durée ultime de conservation, l’organisation supprimera ou anonymisera les données à caractère personnel. L’organisation anonymisera les données si elle souhaite encore les utiliser à des fi ns statistiques. L’organisation peut conserver les données à caractère personnel pendant une plus longue période à des fi ns de gestion des litiges, d’étude ou d’archivage.
8. Droits des personnes concernées
La législation en matière de protection des données prévoit pour les personnes concernées divers droits relatifs au traitement des données à caractère personnel, afi n que les personnes concernées puissent continuer d’exercer un contrôle suffi sant sur le traitement de leurs données à caractère personnel.
Par la présente politique, l’organisation tente déjà de fournir autant d’informations que possible aux personnes concernées afi n de faire preuve de la plus grande transparence en matière de traitement des données à caractère personnel. La présente politique générale doit cependant être lue parallèlement à des notes d’information plus détaillées contenant de plus amples informations sur les fi nalités de traitement spécifi ques de l’organisation.
L’organisation comprend que la personne concernée peut se poser d’autres questions ou vouloir obtenir des précisions au sujet du traitement de ses données à caractère personnel. L’organisation comprend dès lors également l’importance des droits qu’elle s’engage à respecter, compte tenu des limitations légales imposées lors de l’exercice de ces droits. Les divers droits sont décrits plus en détail dans la suite de la présente politique.
a. Droit d’accès
La personne concernée a le droit d’obtenir la confi rmation par l’organisation que ses données à caractère personnel font l’objet d’un traitement. Si tel est le cas, la personne concernée peut demander à accéder à ses données.
L’organisation informera la personne concernée des éléments suivants :
o les fi nalités du traitement ;
o les catégories de données à caractère personnel concernées ;
o les destinataires ou les catégories de destinataires des données à caractère personnel ;
o le transfert à des destinataires établis dans des pays tiers ou des organisations internationales ;
o si possible, la durée de conservation des données à caractère personnel envisagée ou, si ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
o le droit pour la personne concernée de demander à l’organisation la correction ou l’effacement de données à caractère personnel, ou une limitation du traitement de ses données à caractère personnel, ou du droit de s’opposer à ce traitement ;
o le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
o lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
o l’existence d’une prise de décision automatisée, y compris un profi lage et des informations utiles concernant la logique sous-jacente de cette prise de décision, ainsi que l’importance et les conséquences prévisibles de ce traitement pour la personne concernée.
L’organisation fournit en outre une copie des données à caractère personnel traitées. Si la personne concernée demande des exemplaires supplémentaires, l’organisation peut exiger des frais raisonnables.
b. Droit de rectification
Si la personne concernée constate que l’organisation détient des données inexactes ou incomplètes la concernant, elle a à tout moment le droit de le signaler à l’organisation afi n que cette dernière puisse faire le nécessaire pour corriger ou compléter ces données. Il appartient à la personne concernée de fournir à l’organisation des données à caractère personnel correctes.
c. Droit à l’oubli
La personne concernée peut demander l’effacement de ses données à caractère personnel si le traitement n’est pas conforme à la législation en matière de protection des données et dans les limites de la Loi (art. 17 RGDP).
d. Droit à la limitation du traitement
La personne concernée peut demander la limitation du traitement si
o l’exactitude des données à caractère personnel est mise en cause et pendant la période nécessaire à la vérifi cation de leur exactitude ;
o le traitement est illégal et la personne concernée ne souhaite pas l’effacement des données ;
o l’organisation n’a plus besoin des données, mais la personne concernée demande à ce qu’elles ne soient pas supprimées, car elle en a besoin pour l’exercice ou la justifi cation d’une action en justice ;
o une réclamation est introduite contre le traitement dans l’attente de l’explication des intérêts légitimes qui priment sur les intérêts de la personne concernée.
e. Droit à la portabilité
Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à l’organisation dans un format structuré, couramment utilisé et lisible par machine. La personne concernée a le droit de transmettre ces données à caractère personnel (directement par l’organisation) à un autre responsable du traitement. C’est possible si le traitement repose sur le consentement de la personne concernée et sur un traitement par un procédé automatisé.
f. Droit d’opposition
Quand les données à caractère personnel sont traitées à des fi ns de marketing direct (y compris le profi lage), la personne intéressée peut toujours s’opposer au traitement.
La personne concernée peut également s’opposer au traitement d’une situation spécifi que la concernant. L’organisation cessera alors le traitement, à moins qu’elle ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement, qui prévalent sur les intérêts de la personne concernée, ou qui se rapportent à l’exercice ou la justifi cation d’une action en justice.
g. Prise de décision individuelle automatisée
La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profi lage, produisant des effets juridiques la concernant ou l’affectant de manière signifi cative de façon similaire, par exemple l’évaluation d’aspects personnels relatifs à l’exécution du travail, la fi abilité, la solvabilité.
Ce droit de ne pas être soumis à une telle prise de décision automatisée n’existe pas quand la décision est autorisée par une disposition légale impérative.
La personne concernée ne peut cependant pas invoquer ce droit si la décision est nécessaire à la création ou à l’exécution du contrat entre la personne concernée et l’organisation ou si elle repose sur le consentement explicite de la personne concernée. Dans ces deux derniers cas, la personne concernée a le droit à l’intervention humaine d’un membre de l’organisation et elle a le droit de faire connaître son point de vue et de contester la décision automatisée.
h. Droit de retrait du consentement
Si vous avez donné votre consentement à l’organisation pour une fi nalité de traitement déterminée, vous pouvez à tout moment retirer ce consentement par l’envoi d’un e-mail.
i. Procédure concernant l’exercice des droits et autres dispositions
La personne concernée peut exercer ses droits en envoyant un e-mail au Data Protection Officer dpo@nalantis.com. L’organisation peut demander à la personne intéressée de s’identifi er afi n de s’assurer que l’exercice effectif des droits est demandé par la personne concernée.
Si vous avez des questions concernant l’application des principes ou des obligations (légales) qui reposent sur l’organisation, n’hésitez pas à contacter le Data Protection Officer dpo@nalantis.com.
En principe, l’organisation donne suite à la demande de la personne intéressée dans un délai d’un mois. À défaut, l’organisation informe la personne concernée des motifs de son inaction ou du retard dans le suivi de la demande. L’organisme consent les efforts nécessaires pour informer les destinataires des données à caractère personnel de la personne concernée que cette dernière exerce son droit de correction, d’effacement ou de limitation du traitement.
9. Responsabilités de la personne concernée
L’organisation attend de ses travailleurs qu’ils respectent la présente politique et qu’ils veillent à ce qu’elle soit respectée par ceux dont ils sont responsables.
Il est essentiel que les travailleurs comprennent les objectifs de la présente politique et qu’ils s’y familiarisent, afi n qu’ils puissent se conformer aux dispositions qui y sont contenues. Les travailleurs doivent dès lors :
o traiter de façon régulière et appropriée les données à caractère personnel des collègues, des clients, etc., conformément à la législation applicable, aux instructions de l’employeur et à la politique de confi dentialité de l’entreprise, tout en en garantissant l’intégrité et la confi dentialité ;
o en cas de doute sur l’application de la présente politique ou le respect de la réglementation en matière de protection des données dans l’exercice de leur fonction, demander conseil à leur supérieur, au Data Protection Officer;
o traiter des données à caractère personnel uniquement si c’est nécessaire dans l’exercice de leur fonction / sur instruction de l’organisation ;
o suivre des formations sur le traitement confi dentiel des données à caractère personnel et les principes et obligations généraux découlant de la législation en matière de protection des données ;
o assister le Data Protection Off cer;
o Ne pas conserver de copies des données à caractère personnel sur l’ordinateur de bureau ou sur des supports personnels si l’organisation dispose d’un lieu de stockage centralisé et sécurité, car l’enregistrement de fi chiers personnels ou de copies peut causer des erreurs dans les données à caractère personnel et des risques accrus d’infractions ;
o informer immédiatement le Data Protection Officer s’ils constatent une violation éventuelle ou effective des données à caractère personnel ou de la législation en matière de protection des données.
10. Respect
Toutes les entités du groupe de sociétés de l’organisation assurent le respect de la présente politique. Toute personne ayant accès aux données à caractère personnel traitées par l’organisation se doit de respecter la présente politique. Le non-respect de la présente politique peut entraîner des mesures / sanctions disciplinaires, par exemple un avertissement, le licenciement ou toute autre sanction autorisée par la loi, sans préjudice de son droit d’intenter une procédure civile ou pénale.
11. Audit et révision
L’organisation se réserve le droit d’adapter et de réviser la présente politique quand elle le juge nécessaire et pour continuer à se conformer aux exigences légales et / ou aux recommandations de l’autorité de contrôle compétente en matière de protection des données.
Si l’organisation est dans l’incapacité de respecter la présente politique du fait de dispositions légales impératives qui lui sont imposées, elle en informe le Data Protection Officer.
12. Entrée en vigueur
La présente politique entre en vigueur à compter du 2025/07/07.
13. Mesures de sécurité techniques et organisationnelles
Cela peut aussi se faire dans une politique de sécurité distincte. Vous trouverez ci-après un aperçu limité, à titre d’exemple, de diverses mesures de sécurité.
Modifications apportées à ce plan : Ce plan a été mis à jour pour la dernière fois le 7 juillet 2025.
| Mesures organisationnelles |
| – Consultant en sécurité |
| – Plan de sécurité et de gestion des risques |
| – Directive de sécurité |
| – Sensibilisation du personnel par la formation et la diffusion d'informations |
| – Procédure de signalement des incidents physiques/techniques |
| – Classification de l'information |
| – Conséquences disciplinaires en cas de non-respect d'une mesure |
| – Plan de reprise, plan de contingence ou plan d'urgence en cas d'incident physique, technique ou autre |
| – Plan de continuité |
| – Plan garantissant que l'efficacité des mesures organisationnelles/techniques est régulièrement vérifiée/évaluée et contrôlée |
| – Vérification mensuelle de l'adéquation des systèmes et services de traitement |
| Mesures techniques |
| – Système de sauvegarde |
| – Mesures contre l'incendie, l'intrusion, les dégâts des eaux ou les incidents physiques/techniques |
| – Contrôle d'accès (physique et logique) |
| – Système d'authentification |
| – Politique de mots de passe |
| – Politique d'identifiants utilisateur |
| – Système de journalisation, détection et analyse des accès |
| – Correctifs (patching) |
| – Antivirus |
| – Pare-feu |
| – Sécurité réseau |
| – Surveillance, recherche et maintenance des systèmes |
| – Chiffrement des données personnelles |
| – Pseudonymisation des données personnelles |
1 La désignation d’un Data Protection Officer (délégué à la protection des données) est obligatoire dans les cas suivants :
– le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant
dans l’exercice de leur fonction juridictionnelle;
– les activités de base du responsable du traitement consistent en des opérations de traitement qui, de par leur nature,
leur portée et / ou leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
– Les activités de base du responsable du traitement consistent en un traitement à grande échelle de catégories
particulières de données et de données à caractère personnel relatives à des condamnations pénales et à des
infractions.
2 Si l’organisation dispose d’une politique de sécurité, elle peut être invoquée afin de ne pas rendre la présente politique générale trop complexe / incompréhensible.