Aller au contenu principal

FAQ RGPD

Cette FAQ RGPD a pour but de:

Vous donner des informations générales sur la manière dont SECUREX se prépare au RGPD.

Répondre aux questions les plus fréquentes que vous vous posez sur le RGPD comme client SECUREX.

Q: Qu’est-ce que le RGPD?

A : « RGPD » est l’acronyme de Règlement Général sur la Protection des Données (ou GDPR pour General Data Protection Regulation en anglais). Le RGPD est la nouvelle réglementation en vigueur en matière de protection des données et remplace l’ancienne Directive 95/46/CE. La loi du 2 août 2002 sur la protection des données à caractère personnel sera, quant à elle, revue. Le RGPD entrera en vigueur le 25 mai 2018. Quoique les grands principes du RGPD soient les mêmes que ceux des législations antérieures, il présente aussi certaines nouveautés (en matière de droits accordés aux personnes dont les données sont traitées et d’obligation des sous-traitants, par exemple).

Q: Que fait SECUREX pour se préparer au RGPD ?

A : SECUREX a mis en place un plan d’action pour assurer son respect des règles du RGPD dans tous les aspects de ses activités et processus. La réalisation de ce plan est en cours.

Q: Quels sont les grands axes du plan d’action RGPD de SECUREX ?

A : Le plan d’action RGPD de SECUREX reprend les 5 grands axes (workstreams) suivants :

Workstream 1 - Governance : la revue et l’adaptation des politiques internes, procédures et processus et, le cas échéant, l’établissement de nouvelles procédures, politiques ou processus.

Workstream 2 - Registers : la revue de tous les traitements de données (data flows) et l’établissement des registres des données pour chaque activité/entité du groupe SECUREX.

Workstream 3 - Customers : la revue de toutes les clauses contractuelles avec les clients des différentes entités du groupe SECUREX.

Workstream 4 – Vendors & Partners : la revue des clauses contractuelles avec les fournisseurs, sous-traitants et partenaires de SECUREX.

Workstream 5 – Training & Awareness : la formation et l’information du personnel de SECUREX à la problématique de la protection des données.

Q: Est-ce que SECUREX est « GDPR-compliant » ?

A : Aucune entreprise ne peut prétendre à l’heure actuelle être « GDPR-compliant » car un certain nombre de textes (tant aux niveaux luxembourgeois qu’européen) sont encore nécessaires pour comprendre le détail de certaines des obligations découlant du RGPD. SECUREX suit de très près les documents publiés récemment ou attendus d’ici mai 2018 pour préciser ces obligations et a mis en place un plan d’action pour assurer son respect du RGPD dans tous les aspects de ses activités et processus. La réalisation de ce plan est en cours.

Q: SECUREX dispose-t-elle d’une certification RGPD ?

A : Quoique les autorités européennes souhaitent à terme voir se développer des systèmes de certification RGPD, ceux-ci n’existent pas encore. SECUREX suivra avec attention le développement des plans de certification futurs et évaluera, le moment venu, l’opportunité d’y adhérer.

Q: SECUREX dispose-t-il d’un « Data Protection Officer »?

A : Oui. Une des nouveautés du RGPD est d’imposer dans certains cas aux entreprises de nommer un « Data Protection Officer » (DPO) comme, par exemple, quand les activités de base de l’entreprise en question consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées. Ceci est le cas pour SECUREX qui, dans ses différentes activités, traite un grand nombres de données personnelles de travailleurs, indépendants ou chefs d’entreprises.

Q: Est-ce que SECUREX est « responsable de traitement » ou « sous-traitant »?

A : C’est une question à laquelle il faut répondre activité par activité. Dans un grand nombre d’activités, SECUREX est sous-traitant (par ex : l’activité d’administration des salaires dans les différentes entités secrétariat social) car elle traite des données personnelles d’employés sur base d’instructions des employeurs qui sont, eux, les responsables de traitement. Pour d’autres activités, SECUREX est responsable de traitement car elle détermine elle-même les finalités du traitement des données et les modalités de celui-ci (par ex. : assurances, enquêtes) ou la loi lui donne cette qualité (ex : contrôle médical).

Q: En tant qu’employeur, suis-je le responsable du traitement de mes données RH ?

A : De manière générale pour ce qui concerne les activités de secrétariat social, l’employeur est le responsable du traitement puisque il donne les instructions nécessaires à l’établissement et l’envoi de la fiche de paie. SECUREX secrétariat social est le sous-traitant puisque il agit sur base de ces instructions.

De même, si vous faites appel à un consultant RH de SECUREX, vous êtes le responsable du traitement pour les données traitées par ce consultant et SECUREX le sous-traitant.

Q: Qu’est-ce qu’une violation de données ?

A : Une violation de données (ou data breach en anglais) est tout cas où une violation de la sécurité entraîne de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d'une autre manière. Sont donc par exemple des violations de données au sens du RGPD : l’intrusion sur un serveur avec consultation des données personnelles qui s’y trouvent, la destruction accidentelle (en dehors de toutes les procédures de sécurité informatique prévues pour le faire) d’un disque dur sur lequel se trouve des données personnelles, la divulgation non autorisée de données personnelles sur l’infrastructure du Groupe SECUREX.

Q: Que se passe-t-il en cas de violation de données ?

A : Dans le cas où SECUREX est sous-traitant (pour le secrétariat social, par exemple), elle vous avertira par le biais d’un formulaire spécifique dans les meilleurs délais. Ce formulaire reprendra toutes les informations nécessaires pour vous permettre de remplir vos obligations de notification à la Commission Nationale pour la Protection des Données (CNPD).

Le responsable du traitement (vous pour le secrétariat social, SECUREX même pour d’autres missions, cf. ci-dessus) doit dans certaines conditions notifier la CNPD de la survenance d’une violation de données.

SECUREX mettra en place pour mai 2018 une procédure et des formulaires adéquats pour vous communiquer dans les délais nécessaires les informations à reprendre dans la notification que vous devriez faire à la CNPD (ou pour remplir sa propre obligation de notification à la CNPD le cas échéant).

Q: Quelles sont les mesures de sécurité appliquées par SECUREX pour protéger les données personnelles traitées ?

A : SECUREX a mis en place des mesures organisationnelles (nomination d’un DPO, d’un CISO…) et procédurales (procédures, polices, manuel de sécurité) pour assurer la sécurité informatique et physique des données personnelles qu’elle traite. De plus, certaines de ses activités font l’objet de certifications.

Q: Quelles sont mes obligations en tant qu’employeur dans le cadre du RGPD ?

En ce qui concerne vos obligations en tant qu’employeur, veuillez trouver ci-après un lien vers la Commission nationale de Protection des Données (CNPD) pour en savoir plus : https://cnpd.public.lu/fr.html

Si vous recherchez un modèle de Privacy Policy, contactez votre Consultant.

Q: Pouvez-vous me communiquer un modèle de registre RGPD pour mes activités ?

A : Securex ne peut exercer de missions de consultance générale RGPD. Nous vous conseillons cependant d’utiliser l’outil de conformité au RGDP, mis sur pied par la Commission nationale de Protection des Données (CNPD) et disponible en ligne : https://cst.cnpd.lu/portal/.

Q: Où sont localisées les données de mes employés que SECUREX traite ?

A : Les serveurs de SECUREX (sur lesquels sont localisées, par exemple, les données de vos employés pour les prestations de secrétariat social) sont situés au Luxembourg et en Belgique. Pour certains services spécifiques, des sous-traitants peuvent avoir accès à certaines données personnelles, et ce de manière limitée. Dans ce cas, la politique de SECUREX est d’exiger que ces données soient traitées dans l’Union Européenne par ces sous-traitants ou dans des conditions de protection adéquate (par ex : par une entreprise US certifiée «  EU-US Privacy Shield » ou avec laquelle des « EU Model Clauses » ont été signées).