Règlement Général sur la Protection des Données General Data Protection Regulation 2016/679 du 27 avril 2016 (entrée en vigueur: 25 mai 2018)
PRIVACY POLICYPOLITIQUE DE PROTECTIONDES DONNEES A CARACTERE PERSONNEL GROUPE AF COMPRESSORS
(ci-après «AF»)
1.PREAMBULE
La présente politique est rédigée dans le cadredu règlement européen relatif à la protectiondes données(General Data Protection Regulation2016/679), ci-après appelé «GDPR».Dans l’exercice de ses activitésqui s’inscrivent dans un cadre B to B, AF traitediverses données, tant des données commerciales qu’à caractère personnel.La présente politique porte sur le traitement par AF, dans l’Union Européenne (ci-après «UE»),dedonnées à caractère personnel de diverses catégories de personnes identifiables, notamment les travailleurs, les personnes de contact des clients, fournisseurs, prospects et fournisseurs potentiels, les utilisateurs du site web, …Elle définit la manière dont AF gère le traitement des données à caractère personnel: quelles données sont traitées, à quelles fins, à qui sont-elles transférées, combien de temps et comment sont-elles conservées?AF entendégalement décrireles obligations générales qu’elles’engageà respecter de manière àgarantir la protection de ces données et l’effectivité des droits consacrés par le règlement et ainsi assurer une relation de confiance entre AFet les différentes personnes avec lesquelles elle noue des relations d’affaires et entretient des contacts.Les diverses personnes qui, au sein du groupe, peuvent avoir accès à des données personnelles dans l’exercice de leur fonction sont liées par la présente politique de protection des données à caractère personnel.La présente politique est élaborée de façon à constituer un standard minimum uniforme pour la protection des données à caractère personnel applicable à l’ensemble du groupe d’entreprises AF.
2.CHAMPS D’APPLICATION
La présente politiqueconcerne tous traitements, sous quelque forme que ce soit, de données à caractère personnel.
3.DEFINITIONS
La législation applicable en matière de protection des données est une matière abstraite, qui a son propre langage. Vous trouverez ci-dessous quelques définitions qui vous aideront à mieux comprendre la terminologieutiliséedans la présente politique.Donnée à caractère personnel:Toute information se rapportant à une personne physique identifiée ou identifiable, indépendamment de sa nationalité ou de son lieu de résidence;est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nompatronymique, une date de naissance, un numéro d’identification, des données de localisation, un identifiant en ligne,une adresse email,une donnée biométrique (empreinte digitale), un badgeou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;Données RH:Toute donnée à caractère personnel se rapportant aux travailleurs s’entendant comme les employés,ouvriers,candidats(spontanés ou non), stagiaires,travailleurs temporaires/intérimairesetétudiantsd’une filiale du groupe AF;Données sensibles:Données à caractère personnel qui méritent un niveau de protection plus élevé car leur traitement peut entraîner des risques significatifs, soit l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement de données génétiques, de données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique, des données relatives aux condamnations pénales et aux infractions;Traitement:Toute opération effectuée ou non à l’aide de procédés automatisés (pour des traitements «papier» non automatisés, le GDPR ne s’applique que si les données figurent dans un Fichier)et appliquée à des données à caractère personnel, telle que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, la modification, l’extraction, la consultation, 3l’utilisation, la communicationpar transmission, l’effacement ou la suppression;Fichier:Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;Personne concernée:Personne physique dont les données à caractère personnel sont traitées;Responsable du traitement:La personne morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement («Data Controller»);cette notionest autonomeetfonctionnelle, car elle vise à attribuer les responsabilités aux personnes qui exercent uneinfluence de fait, et elle repose par conséquent sur une analyse factuelle plutôt queformelle;AF:Groupe AF Compressors comprenant la Holding et ses Filiales;Filiale:Toute société ou entité juridique entièrement consolidée et contrôlée par MOTEURS et FRANCOIS S.A., ci-après la «holding», sise à 4000 LIEGE (BELGIUM), Rue Côte d’Or, 274 et inscrite à la Banque-Carrefour des Entreprises sous le numéro 0425.662.229 ou mise en équivalence en termes de comptes annuels;Sous-traitant:La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le comptedu responsable du traitement («Data Processor» ‑outsourcing)et sur instruction de ce dernier, soit un prestataire de services (ex: secrétariat social, transporteur, cloud provider, …);Sous-traitants AF:La S.A. COMPRESSOR SPARE PARTS (ci-après «CSP»), sise à 4432 ALLEUR(BELGIUM), Rue du Parc, 10 (BCE: 0430.117.695), fournissant au Groupe AF un service après-vente au niveau international,et les agents (personnes physiques ou morales; commerciaux, distributeurs et/ou prestataires de services) liésau core business du Groupe;4ERP:«Enterprise Resource Planning», aussi appelé Progiciel de Gestion Intégré (PGI), est uneapplication dont le but est de coordonner l’ensemble des activités d’une entreprise (activités dites verticales telles que la production, l’approvisionnement ou bien horizontales comme le marketing, les forces de vente, la gestion des ressources humaines, la gestion comptable et financière, etc.) autour d’un même système d’information;Exportateur de données:Désigne toute filiale située au sein de l’UE et traitant des données à caractère personnel étant ensuite transférées ou mises à disposition d’une filiale hors UE;Importateur de données:Désigne tout filiale hors UE traitant des données à caractère personnel, ces données ayant été transférées ou mises à disposition par une filiale sise dans l’UE;APD:Autorité de protection des données qui a succédéle 25.05.2018 à la Commission de la protection de la vie privée (CPVP) en tant qu’autorité de contrôle au sens du GDPR–Autorité de contrôle belge(www.autoriteprotectiondonnees.be);
4.RESPONSABLES DU TRAITEMENT (UE) ET POINT DE CONTACT POUR LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
4.1.Les responsables de traitement se composent des différentes filialesdu groupe AFsises au sein de l’Union Européennequi seront responsables de leur conformité à la présente politique, soit:S.A. ATELIERS FRANCOIS, sise à 4000 LIEGE(BELGIUM), Rue Côte d’Or, 274 (BCE: 0403.953.332)S.A. AF INTERNATIONAL, sise à L‑9991 WEISWAMPACH(LUXEMBOURG), Gruuss Strooss 25 (RC B97177)S.A. AF BELGIUM, sise à 1420 BRAINE‑L’ALLEUD(BELGIUM), Chaussée de Tubize 485 F (BCE 0420.052.857)S.A. TRADEWARE, sise à 1435 MONT-SAINT-GUIBERT(BELGIUM), Rue du Fond Cattelain, 2 (BCE 0447.647.179)SARL ATELIERS FRANCOISFRANCE, sise à 13008 MARSEILLE (FRANCE), Rue du Rouet, 69(RCS 421.296.039–SIRET 421 296 039 00017)AF POLSKAsp ZOO G, sise à 41800ZABRZE(Pologne), Ul. Jana Galla, 29 (NIP 6511672695)5Chaque filiale est réputée responsable de traitement de ses données RH.Pour les données à caractère personnel non RH, la holding,agissant en tant que «Propriétaire de l’activité»et/ou à tout le moins comme gestionnaire du système ERP du Groupe AF(à l’exception d’AF POLSKA qui n’a pas d’accès à l’ERP),peut être considérée comme responsable de traitement et tiendra donc les registresdes activités de traitement de données à caractère personnel au sein du groupe AF pour les autres finalités que la gestion des ressources humaines, en ce compris pour les données traitées par les Sous-traitants AF établis au sein de l’UE.
4.2.Les activités de base d’AF ne consistant pas en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées et n’impliquant pas un traitement à grande échelle de données sensibles, la désignation d’un délégué à la protection des données (Data Protection Officerou DPO) n’est pas requise. Le groupe AF n’a donc pas nommé de DPO.Néanmoins, AF a chargé le responsable de son département juridique d’assurer la mise en œuvrede la législation en matière deprotection des données et de la présente politique, avec une mission d’information et de conscientisationdes personnesimpliquéesdans le traitement. Cette personne servira de point de contact avec l’APD et les personnes concernées le cas échéant. Elle est joignable par e‑mail (privacy@afcompressors.com).
5.PRINCIPES APPLICABLES A LA COLLECTE ET AU TRAITEMENT DES DONNEES A CARACTERE PERSONNEL
Le GDPRprescrit que les données à caractère personnel doivent être traitées dans le respect desprincipes de base suivants:
5.1.Licéité ‑LawfulChaque traitement doit reposer sur une des bases juridiquesénumérées dans le GDPR. En principe, les données à caractère personnel peuvent uniquement être traitées si:-la personne concernée donne son consentement; elle accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement; son consentement doit être libre, spécifique, éclairé(lapersonne concernée doit savoir quiutilisera quellesdonnées à caractère personnel et pour quellefinalité), univoque, démontrableet doit pouvoir être retiré aussifacilement qu’il a été donné;6‑elles sont traitées dans le cadre de la conclusion ou de l’exécution d’un contrat, ce qui inclut les mesures précontractuelles à condition qu’elles soient exécutées à la demande de la personne concernée;-une obligation légalele requiert, ou si-cela est nécessaire aux fins de l’intérêt légitime poursuivi par le responsable du traitement ou par un tiers (par exemple: partage de données au sein du groupe aux fins d’exécution d’un contrat), à moins queles intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent.Il y a néanmoins une interdiction de principe de traitement des données sensiblessous réserve des exceptionslimitativement prévues par le GDPR(consentement explicite;traitement nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale; traitement nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur;donnée rendue public par la personne concernée;traitement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée;…).Il en est de même pour le traitement des données à caractère personnel relatives aux condamnations pénales et auxinfractions; il nepeut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées.
5.2.Limitation des finalités –Purpose limitationLe principe de finalité est un fondement crucial du GDPR. AFne traitedes données à caractère personnel que pour des finalités qui ont été définies explicitement au préalable (cf. point 7 ci-dessous).Trois possibilités existent néanmoins si AFsouhaite quand même traiter des données à caractère personnel pour une finalité qui diverge de celle pour laquelle elle avait initialement traité ces données:-Consentement distinct: AF peutdemanderle consentement de la personne concernée afin de traiter les données à caractère personnel pour cette nouvelle finalité. Ce consentement constituera la (nouvelle) base juridique du traitement pour cette nouvelle finalité;-Obligation légale: le traitement ultérieur de données à caractère personnel découle d’une obligation légale;-Compatibilité: AFdoit évaluer si la nouvelle finalité est compatible avec les finalités pour lesquelles les données ont été obtenues initialement. Si tel est le cas, le traitement repose sur la base juridique qui lui a permis d’obtenir et de traiter initialement les données.
5.3.Loyauté et transparence ‑Transparency7En tant que responsable de traitement, AFentendmener une communication proactive de manière à ce que les personnes concernées sachent qui traite quellesdonnées à caractère personnel, pour quelles raisons et à qui elles peuvent s’adresseren cas de problème(cf. points6.1.et 18). La présente politique se veut à cet égard claire, compréhensible et aisément accessible.Elle est publiée sur les sites internet du groupe (https://www.afcompressors.comet http://www.af-belgium.be) et une copie sera mise à disposition sur demande sous format papier ou par voie électronique.
5.4.Minimisation des données –Data minimisation –«Less is more»La collecte et le traitement de données à caractère personnel se limiteà ce qui est nécessaire et pertinent pour réaliser les finalités envisagées.
5.5.Exactitude ‑AccuracyLes données à caractère personnel doivent être exactes et actuelles. Dès qu’AF a connaissance du caractère erroné ou dépassé des données à caractère personnel qu’elle traite, elle les actualise, les rectifie ou les efface. La personne concernée dispose d’ailleurs également d’un droit de rectification de ses données à caractère personnel.
5.6.Limitation de la conservation ‑Storage limitationLes données à caractère personnel sont conservées aussilongtemps que la finalité pour laquelle elles ont été collectées et sont traitées perdure, et ce en tenant compte des délais de conservationlégaux.
5.7.Intégrité et confidentialité –Integrity & Confidentiality AF adopte les mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données à caractère personnel, ce qui inclut leur protection contre les traitements non autorisés ou illicites et contre leur perte, leur destructionou les dégâts d’origine accidentelle.Ces mesures s’appliquent à l’accès physique aux données à caractère personnel, à l’accès à ces données par des ordinateurs, serveurs, réseaux ou autre matériel informatique, applications logicielles et bases de données. Outre les mesures techniques et organisationnelles, les travailleurs qui, dans l’exercice de leur fonction, ont accès à des données à caractère personnel, sont sensibilisés à l’importance de la protection des données à caractère personnel et tenus de respecter diverses obligations visant à garantir leur confidentialité et leur intégrité.AF met en place des droits d’accès pour que les travailleurs aient uniquement accès aux données dont ils ont besoin dans l’exercice de leur fonction. Les travailleurs qui ont accès aux données à caractère personnel sont liés par une clause de confidentialité dans le cadre de leur contrat de travail. AF veille à ce que les sociétés du groupe et tiers avec qui elle contracte et quireçoivent des données à caractère personnel de l’organisation appliquent la législation en matière de protection des données.
5.8.Responsabilité ‑AccountabilityAF entend assurer la mise en conformité de ses différentes entitésavec le GDPR. Elle veille à réaliser des audits pour s’en assurer, à informer son mangement et ses travailleurs, à conscientiser et former le personnel impliqué dans le traitement, à tenir les registres de traitement ad hoc, à mettre en place desprocédures à respecter pour le traitement des données viséeset des éventuelles plaintes des personnes concernées.
6.LES DROITS DES PERSONNES PROTEGEES PAR LE GDPRLe GDPRprévoit que les personnes concernées disposent des droits suivants: droit à l’information, droit d’accès, droit de rectification, droit à l’effacement, droit à la limitation du traitement, droit d’opposition, droit à la portabilité et droit de ne pas faire l’objet d’une décision individuelle automatisée. Les personnes concernées exercent ces droits à l’égard du responsable du traitement.Par la présente politique, AF tente déjà de fournir autant d’informations que possible aux personnes concernées afin de faire preuve de la plus grande transparence en matière de traitement desdonnées à caractère personnel.AF comprend également l’importance des droits qu’elle s’engage à respecter,qui sont décrits plus en détail dans lasuite de la présente politique, afin que les personnes concernées puissent continuer d’exercer un contrôle suffisant sur le traitement de leurs données à caractère personnel.
6.1.Droit à l’information / Obligation d’informerChaque personne concernée a droit à certaines informations lorsqu’AFtraite des données la concernant.1/Quelles informations ?-les finalités et la base juridique du traitement;-les données d’identité et de contact du responsable du traitement;-les destinataires ou les catégories de destinataires des données;-lors de transferts en dehors de l’Union Européenne, l’existence d’une décision d’adéquation ou de garanties appropriées;-des explications sur l’intérêt légitime du responsable du traitement si le traitement repose sur cette base juridique;9‑les catégories de données traitées;-le délai de conservation ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer ce délai;-le droit d’accès, d’effacement, de rectification, de limitation, d’opposition et le droit à la portabilité;-le droit d’introduire une réclamation auprès d’une autorité de contrôle;-si le traitement se fonde sur le consentement, le droit de retirer son consentement à tout moment;-si la personne concernée est obligée de fournir les données à caractère personnel (par la loi ou par un contrat) et quelles sont les conséquences en cas de refus de fournir ces données;-la source des données (en cas de collecte indirecte);-si elle existe, l’existence d’une prise de décision automatisée, ce qui n’est pas du tout le cas au sein du groupe AF.2/Quand ces informations doivent-elles être fournies ?En cas de collecte directe, AF communique ces informations au moment de la collecte desdonnées à caractère personnel.Si la personne concernée dispose déjà de toutes les informations, AFne l’informera pas inutilement du traitement de ses données à caractère personnel.Lors de toute modification ultérieure apportée au traitement, AFen informeralapersonne concernée à l’avance de manière à ce que cette dernière dispose d’un délai raisonnable pour en apprécier l’impact et exercer ses droits.3/Comment les informations doivent-elles être communiquées ?Les informations susvisées sont communiquées dans le cadre de la présente politique de manière à trouver un équilibre entre concision et précision et sont structurées de manière à être facilement lisibles.6.2.Droitd’accèsLe droit d’accès permet à la personne concernée de contrôler la licéité de chaque activité de traitement. Ilcomporte trois volets :1/la personne concernée a le droit de savoir si AFtraite ou non ses données à caractère personnel ;2/si oui, la personne concernée a le droit d’obtenir les informations mentionnées ci-dessus (cf. point 6.1.1/) ;