Vie privée & RGPD

Sécurité informatique et sécurité de l’information

Politique de l’institution quant à la sécurité des données personnelles

L’institution collecte et traite des données personnelles dans les domaines suivants :

Stagiaires CISP/FLE et bénéficiaires AVIQ

Garantir le statut social et les droits sociaux du stagiaire/bénéficiaire
Les données récoltées sont classifiées comme suit :

• Données d’identité
• Données relatives au statut de la personne
• Données psychosociales
• Données administratives

Bénéficiaires Halte Accueil :

La finalité du traitement est de garantir l’accueil optimal de l’enfant.
Les données récoltées sont classifiées comme suit :

• Données d’identité ;
• Données présence enfant ;
• Données sociales,fiscales des parents ;

Travailleurs salariés de l’institution (et volontaires et stagiaires) :

gestion sociale et fiscale de travailleurs salariés dont la responsabilité finale incombe à l'employeur

Les données récoltées sont classifiées comme suit :

• Données de sélection et recrutement ;
• Données d’identité ;
• Données juridiques ;
• Données de contrôle d’accès ;

Membres et administrateurs de l’institution :

La finalité du traitement est le respect de la législation relative aux asbl et des obligations d’identification des membres et des administrateurs.

Les données récoltées sont classifiées comme suit :

• Données d’identité ;
• Données personnelles de contact et de compétence ;

Clients commerciaux :

Garantir aux clients commerciaux un service après vente conforme à leurs attentes et aux éventuelles obligations légales

Les données récoltées sont classifiées comme suit :

• Données d’identité

Fournisseurs :

La finalité du traitement est de disposer des éventuelles données personnelles du contact le plus approprié chez le fournisseur en fonction de la demande.

Les données récoltées sont classifiées comme suit :

• Données d’identité ;

Partenaires :

La finalité du traitement est de disposer des éventuelles données personnelles du contact le plus approprié chez le partenaire en fonction de la demande.

Les données récoltées sont classifiées comme suit :

• Données d’identité ;

Ces données personnelles ne sont jamais vendues à des tiers, pour quelque raison que ce soit.

Toute personne concernée par la récolte et le traitement de certaines de ces données personnelles peut prendre contact avec la direction de l’institution afin que celle-ci, en fonction de la demande, oriente la personne auprès du service compétent.
Les coordonnées de la direction sont les suivantes :
………TATON Béatrice ………………………………………………..

Vous trouverez également dans ce document la politique de l’institution en matière de sécurité informatique et de sécurité de l’information.

Pour l’élaboration de ce guide relatif à la sécurité des données personnelles, l’institution a veillé à élaborer, pour chaque registre de traitement de données à caractère personnel, une gestion des risques comprenant les éléments suivants :

• L’identification des impacts potentiels sur les droits et libertés des personnes concernées si l’un des événements suivants survient :
  o L’accès illégitime aux données personnelles ;
  o La modification non désirée de données personnelles ;
  o La disparition de données personnelles ;
• L’identification des sources de risques (qui ou quoi pourrait être à l’origine de chaque événement redouté) ;
• L’identification des menaces réalisables (qu’est-ce qui pourrait permettre que chaque événement redouté survienne) ;
• La détermination des mesures existantes ou prévues qui permettent de traiter ces risques ;
• La gravité et la vraisemblance de ces risques.

De cette analyse de gestion des risques, l’institution a mis en place la politique de sécurité reprise ci-dessous.

Sensibilisation des collaborateurs

Dès leur engagement et tout au long de leur parcours professionnel au sein de l’institution, les collaborateurs sont sensibilisés à l’importance du devoir de discrétion et de réserve, voire de secret professionnel dans la connaissance, la collecte et l’utilisation de données personnelles.

C’est ainsi que l’institution s’est dotée des outils suivants :

• Un encadrement de l’utilisation des outils informatiques repris dans le règlement de travail ;
• Une clause de confidentialité signée par chaque travailleur .

Authentification des utilisateurs

Pour s’assurer que chaque utilisateur accède uniquement aux données dont il a besoin, l’institution dote chaque travailleur d’un identifiant qui lui est propre et veille à ce qu’il doive s’authentifier avant toute utilisation des moyens informatiques (mot de passe et log in).

Leservice externe chargé de la gestion informatique de la structure dispose des mots de passe et log in de l’ensemble du personnel. Le stockage des authentifiants s’effectue de façon sécurisée.

Gestion des habilitations

Chaque travailleur disposant d’un mot de passe et log in personnel n’a accès qu’aux seules données strictement nécessaires à l’accomplissement de ses missions.

Les éventuels étudiants effectuant un stage au sein de l’institution disposent, si le contenu du stage le justifie, d’un mot de passe et log in personnel limité à la durée de leur stage ou contrat.
Seul le staff de direction a les habilitations nécessaires pour avoir accès aux bases de données via tout ordinateur y compris hors de institution .Les autres travailleurs ne peuvent accéder aux bases de données qu’aux heures de travail et a partir de l’institution

En cas de fin du contrat de travail, les mots de passe et log in sont désactivés endéans les 24 heures.

Traçage des accès et gestion des incidents

Le service informatique externe dispose d’une procédure afin de pouvoir identifier un accès frauduleux, une utilisation abusive de données personnelles ou de déterminer l’origine d’un incident.

Sécurisation des postes de travail

Système antivirus, antispam, pare-feu et autre protection contre l’extérieur

L’institution a recours aux compétences techniques et informatiques d’un sous-traitant.

Celui-ci veille à protéger le système informatique de l’institution des intrusions externes en veillant à ce que le système réseau et/ou les ordinateurs bénéficient d’une protection optimale et mise à jour, en recourant aux systèmes les plus fiables se trouvant sur le marché.

Back up

Un back up de toutes les données se trouvant sur le réseau est effectué à temps et à heure et contrôlé par le sevice externe gerant le système informatique de l’institution.

Sécurisation de l’informatique mobile

Seuls les moyens informatiques mobiles mis à disposition par l’institution peuvent être utilisés à des fins professionnelles.

Pour chaque type d’outil (PC portable, smartphone,…), des mesures de sécurité en termes d’accès au contenu (type verrouillage et déverrouillage) sont prévues par le responsable externe de la sécurité informatique.

Sécurisation des serveurs

La sécurisation des serveurs est réservée au service informatique qui dispose d’un accès dit « administrateur ».

Les opérations d’administration des serveurs s’effectuent via un réseau dédié et isolé, accessible après une authentification forte et avec une traçabilité renforcée.

L’institution dispose de systèmes de détection et prévention d’attaques spécifiques.

Ces serveurs se trouvent dans un endroit sécurisé.

Sauvegarde et prévention de la continuité d’activité

Le responsable externe du service informatique dispose de la procédure à mettre en place en cas de disparition non désirée de données informatiques.

Le back up des données du serveur permet une remise en route rapide de l’ensemble des activités de l’institution .

Le responsable externe de la sécurité informatique teste régulièrement la restauration des sauvegardes

Archivage de manière sécurisée

Dans le cadre de la mise en réseau des données, les données personnelles non nécessaires à l’exécution des missions de l’institution ne sont plus accessibles au personnel de l’institution.

Un archivage est effectué une fois par année civile. Cet archivage est conservé un maximum de 10 ans débutant le 1er janvier de l’année suivant ledit archivage ou un délai plus long si certaines données archivées doivent être conservées en raison d’une action en justice (délai de prescription).

Les archives papiers sont consevées dans des locaux sécurisés .

Les archives sont détruites par déchiqueteuse .

Protection des locaux

La sécurisation des locaux, que ce soit les endroits où se trouvent les serveurs, ou les bureaux où se trouvent les données personnelle « version papier »,… est impérative.

Parmi les mesures prises, l’on peut citer :

• L’institution a placé des alarmes anti-intrusion vérifiées périodiquement ;
• L’institution dispose de détecteurs de fumée ainsi que des moyens de lutte contre les incendies ;
• La pièce réservée au serveur informatique n’est accessible qu’aux personnes habilitées,
• Le matériel informatique dispose de moyens de protection spécifiques .

Droit des personnes dont des données personnelles ont été collectées et traitées

Toute personne ayant communiqué des données personnelles, y compris les travailleurs de l’institution pour leurs propres données, disposent des protections suivantes :

Droit d’accès et de rectification des données

A tout moment, vous pouvez prendre contact avec …….. (nom, titre et ou fonction et moyens de contact) afin de connaître les données personnelles dont dispose l’institution, la façon dont ces données sont conservées. A ce droit d’accès est lié un droit de rectification s’il s’avère que ces données sont obsolètes.

Droit de portabilité

Chaque personne concernée a le droit, pour ce qui le concerne :

• de recevoir ses propres données dans un format structuré, couramment utilisé et lisible par une machine (PC) ;
• et si c’est techniquement possible, d’obtenir que les données soient directement transmises à un autre responsable de traitement (ceci ne vise que les données dont le responsable de traitement dispose en raison du consentement écrit de la personne concernée et pour lesquelles le traitement est effectué à l’aide de procédés automatisés).

Droit à l’effacement (ou droit à l’oubli numérique)

Toute personne concernée a le droit d’obtenir l’effacement de ses données dans les meilleurs délais dans les cas suivants :

• les données à caractère personnel ne sont plus nécessaires au regard des finalités poursuivies ;
• elle retire le consentement sur lequel est fondé le traitement ;
• elle s’oppose au traitement de ses données à des fins de prospection ;
• les données ont fait l’objet d’un traitement illicite ;
• les données ont été collectées dans le cadre de l’offre directe de service à un enfant de moins de 16 ans.

Le droit à l’effacement ne concerne donc pas les données personnelles récoltées dans le cadre de la gestion sociale et fiscale des travailleurs salariés.

Désignation d’un délégué de protection des données (DPD ou DPO)

La désignation d’un délégué à la protection des données (DPD) est obligatoire dans les cas suivants :

• le traitement des données à caractère personnel est effectué par une autorité publique ou un organisme public ;
• les activités de base du responsable de traitement consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (profilage) ;
• les activités de base du responsable de traitement consistent en un traitement à grande échelle de catégories particulières de données (données sensibles).

L’institution n’est pas un organisme public. Elle ne collecte aucune donnée sensible et ne conserve les données personnelles que pour répondre adéquatement à ses missions et à son but social, sans aucune visée de profilage.

L’institution n’est donc pas tenue de disposer d’un délégué à la protection des données.

En raison de la petitesse de la structure, du peu de données personnelles récoltées et des moyens financiers disponibles, l’institution décide de ne pas engager de DPD.

L’institution veille toutefois à conscientiser, informer, former et suivre les travailleurs de l’institution collectant et traitant ces données personnelles.