Fonds Social et de Garantie Horeca
Politique en matière de traitement et de
protection des données à caractère personnel

Objet et objectifs

La politique en matière de traitement et de protection des données à caractère personnel (dénommée ci‐après
« politique de respect de la vie privée ») vise la protection des libertés et droits fondamentaux des personnes
physiques dont le Fonds Social et de Garantie Horeca (dénommé ci‐après « le Fonds ») traite les données
personnelles, et notamment leur droit à la protection des données à caractère personnel.

Cette « politique de respect de la vie privée » est conforme au Règlement européen 2016/679 du Parlement
européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement
des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
(Règlement général sur la protection des données, dénommé ci‐après « RGPD »).

 

Champ d’application

La présente politique de respect de la vie privée fixe des règles pour toute personne traitant des données à
caractère personnel dans le cadre de sa fonction ou de sa relation vis‐à‐vis du Fonds. Il s’agit en l’occurrence ici
des collaborateurs du Fonds (travailleurs, intérimaires, consultants, …) mais aussi des fournisseurs, des centres
régionaux de formation, des avocats, des huissiers de justice, du Fonds d’indemnisation des travailleurs
licenciés en cas de fermeture d’entreprises. …

Le traitement visé concerne le traitement ou un ensemble de traitements portant sur des données ou un
ensemble de données à caractère personnel. Le fait que le traitement soit automatisé ou non n’a ici aucune
importance.

Cette politique ne s’applique pas au traitement de données à caractère personnel par une personne physique
dans le cadre de l’exercice d’une activité purement personnelle ou domestique.

 

Principes relatifs au traitement des données à caractère personnel

En tant que responsable du traitement, le Fonds est responsable du respect des principes suivants et doit être
en mesure de démontrer leur prise en compte (obligation de responsabilité).

Licéité, loyauté et transparence

Le Fonds traitera les données à caractère personnel de manière à la fois licite, loyale et transparente vis‐à‐vis
de la personne concernée.
Le Fonds s’inspirera, pour le traitement des données, de l’un des fondements juridiques suivants :

1. le traitement s’avère indispensable pour l’exécution d’un contrat dont la personne concernée est une des parties prenantes ;
2. le traitement s’avère indispensable pour répondre à une obligation légale incombant au Fonds ;
3. le traitement s’avère indispensable pour la défense des intérêts légitimes du Fonds ou d’un tiers.

Traitement minimal des données

Le Fonds traitera les données à caractère personnel qui s’avèrent suffisantes, pertinentes et limitées à ce qui
est indispensable au regard des finalités décrites.

Finalité

Le Fonds ne traitera les données à caractère personnel qu’aux fins explicitement décrites et justifiées ci‐après :

• paiement de la prime syndicale aux travailleurs du secteur Horeca
• paiement de la prime de fin d’année aux travailleurs du secteur Horeca
• paiement du complément RCC aux anciens travailleurs du secteur Horeca
• formation des travailleurs du secteur Horeca
• gestion de la pension sectorielle complémentaire
• formation syndicale

Le traitement complémentaire à des fins statistiques n’est pas considéré comme incompatible avec les finalités
initiales.

Exactitude

Le Fonds traitera les données à caractère personnel exactes et, si nécessaire, tenues à jour. Le Fonds prendra
toutes les mesures raisonnables pour effacer et corriger sans délai les données à caractère personnel inexactes.
Limitation de la conservation

Le Fonds s’efforce de conserver les données à caractère personnel sous une forme permettant de ne pas
identifier les personnes concernées plus longtemps que nécessaire aux fins du traitement.

Le Fonds prendra toutes les mesures techniques et organisationnelles appropriées pour protéger les droits et
libertés de la personne concernée s’il souhaite traiter les données à caractère personnel sur de plus longues
périodes à des fins statistiques.

Intégrité et confidentialité

Le Fonds prendra les mesures techniques ou organisationnelles appropriées pour
1° garantir une protection adéquate des données à caractère personnel et
2° faire en sorte que ces données à caractère personnel soient notamment protégées contre tout traitement
non autorisé ou illicite ainsi que contre toute perte, destruction ou détérioration d’origine accidentelle.

 

Registre

Le Fonds tiendra un registre écrit des activités de traitement réalisées sous sa responsabilité.

Chaque personne chargée du traitement des données à caractère personnel tiendra un registre écrit des
activités de traitement réalisées pour le compte du Fonds.
 

Délégué à la protection des données

Le Fonds a désigné la société « L4‐Consulting bvba » en qualité de délégué à la protection des données
(dénommé ci‐après « DPD »).

Le DPD s’acquittera au minimum des tâches suivantes :

1. Informer et conseiller le Fonds ainsi que les collaborateurs traitant des données à caractère personnel de leurs obligations en vertu du RGPD et des autres dispositions en matière de protection des données ;
2. Veiller au respect du RGPD et des autres dispositions de protection des données ainsi que de la politique du Fonds en matière de protection des données à caractère personnel, en ce compris l’attribution des responsabilités, la sensibilisation et la formation du personnel chargé du traitement des données et les audits correspondants ;
3. Dispenser, en cas de demande en ce sens, des conseils relatifs à l’analyse d’impact relative à la protection des données et veiller à leur mise en oeuvre ;
4. Collaborer avec l’autorité de protection des données ;
5. Faire office d’interlocuteur vis‐à‐vis de l’autorité de protection des données pour les questions relatives au traitement, y compris la consultation préalable dans le cadre d’une analyse d’impact relative à la protection des données et, le cas échéant, la concertation sur tout autre sujet.

Le Fonds veillera à ce que le DPD soit associé de manière appropriée et en temps utile à toutes les questions
relatives à la protection des données à caractère personnel.

Le Fonds soutiendra le DPD dans le cadre de l’exécution de ses tâches en lui donnant accès aux données à
caractère personnel et aux activités de traitement ainsi qu’en mettant à sa disposition tous les moyens
nécessaires pour remplir ses tâches et tenir à jour ses connaissances spécifiques.

Le DPD tiendra compte, dans le cadre de l’exécution adéquate de ses tâches, du risque lié aux traitements
effectués ainsi que de la nature, du volume, du contexte et des finalités du traitement.

Les personnes concernées peuvent contacter le DPD pour toutes les questions relatives au traitement de leurs
données personnelles et à l’exercice de leurs droits résultant du RGPD et ce par e‐mail à L4‐
Consulting@proximus.be.

Dans le cadre de l’exécution de ses tâches, le DPD est tenu au secret professionnel ou à l’obligation de
confidentialité.

Catégories de données à caractère personnel traitées et catégories de personnes concernées

Les données à caractère personnel traitées par le Fonds et les personnes dont les données à caractère
personnel sont traitées sont les suivantes :

DONNÉES PERSONNELLES RELATIVES AUX TRAVAILLEURS

Pour les traitements dans le cadre de la gestion de la pension sectorielle complémentaire

Pour les affiliés actifs : données d’identification (comme nom, prénom, date de naissance, numéro de registre
national, âge, sexe), coordonnées (comme adresse, adresse e‐mail et numéro de téléphone), données
bancaires (comme numéro de compte), données relatives à la situation familiale (comme état civil, nom,
prénom, date de naissance du partenaire et des enfants), données salariales (comme salaire), données
relatives à la carrière (données d’identification de l’employeur actuel et des employeurs précédents dans le
secteur, périodes d’emploi, périodes d’absence, par ex. pour maladie), date de décès, données à caractère
personnel relatives à une saisie.

Pour les affiliés passifs : données d’identification (comme nom, prénom, date de naissance, numéro de registre
national, âge, sexe), coordonnées (comme adresse, adresse e‐mail et numéro de téléphone), données relatives
à la situation familiale (comme état civil, nom, prénom, date de naissance du partenaire et des enfants),
données salariales (comme salaire pour les périodes d’emploi dans le secteur), données relatives à la carrière
(données d’identification des employeurs dans le secteur, périodes d’emploi, périodes d’absence, par ex. pour
maladie), date de décès, données à caractère personnel relatives à une saisie.

Pour les bénéficiaires : données d’identification (comme nom, prénom, date de naissance), coordonnées
(comme adresse, adresse e‐mail et numéro de téléphone)

Pour les traitements dans le cadre du paiement de la prime de fin d’année
Pour les travailleurs du secteur Horeca : données d’identification (comme nom, prénom, date de naissance,
numéro de registre national, âge, sexe), coordonnées (comme adresse, adresse e‐mail et numéro de
téléphone), données bancaires (comme numéro de compte), données salariales (comme salaire), données
relatives à la carrière (données d’identification de l’employeur actuel et des employeurs précédents dans le
secteur, périodes d’emploi, périodes d’absence, par ex. pour maladie), date de décès, données à caractère
personnel relatives à une saisie.

Les données à caractère personnel susmentionnées seront également traitées pour les travailleurs ayant quitté
le secteur mais pouvant encore prétendre au paiement (d’une partie) de la prime de fin d’année.

Pour les traitements dans le cadre du paiement de la prime syndicale

Pour les travailleurs du secteur Horeca : données d’identification (comme nom, prénom, date de naissance,
numéro de registre national, âge, sexe), coordonnées (comme adresse, adresse e‐mail et numéro de
téléphone), données bancaires (comme par numéro de compte), données relatives à la carrière (données
d’identification de l’employeur actuel et des employeurs précédents dans le secteur), date de décès, données à
caractère personnel relatives à une saisie.

Les données à caractère personnel susmentionnées seront également traitées pour les travailleurs ayant quitté
le secteur mais pouvant encore prétendre au paiement (d’une partie) de la prime syndicale.

Pour les traitements dans le cadre du complément RCC
Pour les anciens travailleurs du secteur Horeca bénéficiant d’un complément RCC : données d’identification
(comme nom, prénom, date de naissance, numéro de registre national, âge, sexe), coordonnées (comme
adresse, adresse e‐mail et numéro de téléphone), données bancaires (comme numéro de compte), données
relatives à la situation familiale (comme état civil et nombre d’enfants), données salariales et relatives aux
revenus (comme salaire), données relatives à la carrière (données d’identification de l’employeur actuel et des
employeurs précédents dans le secteur, périodes d’emploi), date de décès, données à caractère personnel
relatives à une saisie.

Pour les traitements dans le cadre de la formation

Pour les travailleurs du secteur Horeca : numéro d’identification de la sécurité sociale, nom, prénom, sexe, âge,
date de naissance, date de décès, adresse, adresse e‐mail, régime linguistique de la commune, données
relatives à la carrière, nombre de jours prestés et assimilés, données de formation, données concernant le
niveau de prestation.

Pour les traitements dans le cadre de la formation syndicale : numéro de registre national, nom, prénom,
mandaté auprès d’une organisation syndicale, coût salarial.

 

DONNÉES PERSONNELLES DES EMPLOYEURS – PERSONNES PHYSIQUES
Pour les employeurs du secteur Horeca : données d’identification de l’employeur – personne physique (nom,
prénom), coordonnées (comme numéro de téléphone, adresse), données d’identification de l’entreprise
(comme numéro d’enregistrement de l’entrepreneur, numéro de l’entreprise, dénomination, code NACE,
forme juridique), coordonnées (comme numéro de téléphone, adresse), code linguistique, code d’importance,
période d’affiliation et numéro horeca, (date de la) faillite.

Le Fonds traite de façon limitée certaines catégories particulières de données à caractère personnel telles que
celles relatives à la santé (par ex. absences pour cause de maladie ou accident).

 

Transfert de données à caractère personnel

Les données à caractère personnel peuvent être transmises par le Fonds à la liste non limitative suivante de
destinataires :

• institutions financières
• administration fiscale
• services de sécurité sociale
• employeur de la personne concernée
• auditeur externe
• prestataires de services spécialisés en pension complémentaire
• entreprises de distribution postale
• entreprises d’impression
• conseillers juridiques et fiscaux
• centres de formation
• Office National de l’Emploi
• services de l’emploi
• avocats et huissiers de justice

Le Fonds ne transmettra pas de données à caractère personnel à des pays‐tiers situés en dehors de l’Union
Européenne. Le transfert à un sous‐traitant à l’intérieur de l’Union Européenne n’est possible que pour autant
que le Fonds et le sous‐traitant répondent tous deux aux conditions fixées par le RGPD. Cela s’applique
également aux autres transferts de données à caractère personnel à partir d’un pays‐tiers vers un autre pays-tiers.

 

Délais de conservation

Nous conservons vos données à caractère personnel au moins jusqu’à la fin de votre occupation dans le secteur Horeca et jusqu’à expiration du délai de conservation des documents comptables (en principe 7 ans). Dans certains cas le délai de conservation pourra être adapté, par exemple en cas de saisie sur salaire, de faillite ou d’une affaire pendante devant le tribunal. Pour la gestion de la pension complémentaire sectorielle, vos données à caractère personnel seront conservées jusqu’à 5 ans après l’admission à la pension.

 

Informations à fournir par le Fonds

La personne concernée a le droit de recevoir certaines informations de la part du Fonds. Ces informations
seront fournies par écrit. Si la personne concernée en fait la demande, les informations pourront être
transmises oralement, à condition de prouver son identité.

Le Fonds fournira systématiquement les informations suivantes à la personne concernée :

1. identité et coordonnées du Fonds ;
2. coordonnés du DPD ;
3. finalités du traitement et fondement juridique ;
4. période pendant laquelle les données à caractère personnel seront conservées ou, si cela ne s’avère pas possible, critères de détermination de cette période ;
5. droit d’accès, de rectification et d’effacement des données à caractère personnel, droit à la limitation du traitement, droit d’opposition au traitement et droit à la portabilité des données ;
6. si la personne concernée a donné son consentement en vue du traitement, droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui‐ci ;
7. fait que la personne concernée a le droit de déposer réclamation auprès de l’autorité de contrôle – il s’agit en Belgique de la Commission de la protection de la vie privée (appelée à partir du 25 mai 2018 Autorité de protection des données)
8. intérêts légitimes du Fonds ou d’un tiers (le cas échéant)
9. si le Fonds envisage de transmettre les données à caractère personnel à un pays‐tiers et s’il existe ou non une décision d’adéquation de la Commission. En l’absence d’une telle décision : quelles sont les garanties appropriées ou adaptées, comment obtenir une copie ou où peuvent‐elles être consultées ?

Si les données à caractère personnel concernant cette personne sont collectées directement auprès de celle-ci,
le Fonds fournira aussi les informations complémentaires suivantes :

1. les destinataires ou catégories de destinataires des données à caractère personnel ;
2. le fait que la transmission des données à caractère personnel constitue une obligation légale/contractuelle ;
3. le fait que la personne concernée est dans l’obligation de transmettre ses données à caractère personnel et les conséquences éventuelles en cas de non‐transmission de ces données.

Si les données à caractère personnel n’ont pas été obtenues de la personne concernée, le Fonds fournira les
informations complémentaires suivantes :

1. les catégories de données à caractère personnel ;
2. le fait que les données à caractère personnel proviennent de la BCSS via le réseau secondaire.

Si les données à caractère personnel ont été collectées auprès de la personne concernée, le Fonds fournira ces
informations lors de l’obtention de ces données.

Dans l’autre cas, le Fonds fournira ces informations dans un délai raisonnable mais au plus tard dans le mois
suivant l’obtention des données à caractère personnel.

Si les données à caractère personnel sont destinées à être utilisées pour les communications avec la personne
concernée, les informations complémentaires seront fournies au plus tard au moment du premier contact avec
cette personne.

Si les données à caractère personnel sont destinées à être transmises à un autre destinataire, les informations
complémentaires seront fournies au plus tard au moment où ces données à caractère personnel seront
transmises pour la première fois. Cette obligation d’information ne s’appliquera pas si la personne concernée dispose déjà des informations en question.

 

Droits des personnes concernées

Droit d’accès de la personne concernée

La personne concernée a le droit d’obtenir du Fonds la confirmation que des données à caractère personnel la
concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel
ainsi que les informations suivantes :

1. les finalités du traitement ;
2. les catégories de données à caractère personnel concernées ;
3. les destinataires ou catégories de destinataires à qui les données à caractère personnel sont ou seront transmises. Si les données à caractère personnel sont transmises à un pays‐tiers, la personne concernée a le droit d’être informée des garanties appropriées en matière de transmission des données.
4. lorsque cela est possible, la période pendant laquelle les données à caractère personnel seront probablement conservées ou, si cela ne s’avère pas possible, les critères utilisés pour déterminer cette période ;
5. l’existence du droit de demander au Fonds que ses données à caractère personnel soient rectifiées ou effacées, ou que le traitement des données à caractère personnel la concernant soit limité, de même que de s’opposer à ce traitement ;
6. le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
7. si les données à caractère personnel ne sont pas directement collectées auprès de la personne concernée, toutes les informations disponibles concernant la source de ces données.

Droit de rectification

La personne concernée a le droit d'obtenir du Fonds, dans les meilleurs délais, la rectification des données à
caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne
concernée a le droit d'obtenir que les données à caractère personnel incomplètes soient complétées.

Droit d’effacement (« droit à l’oubli »)

La personne concernée a le droit d'obtenir du Fonds l'effacement, dans un délai raisonnable, de données à
caractère personnel la concernant et le Fonds a l'obligation d'effacer ces données à caractère personnel dans
un délai raisonnable lorsque :

1. les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été traitées ;
2. la personne concernée retire le consentement sur lequel repose le traitement et il n’existe pas d’autre fondement juridique au traitement ;
3. la personne concernée s’oppose au traitement et il n’existe aucun motif légitime impérieux pour le traitement ;
4. les données à caractère personnel ont fait l’objet d’un traitement illicite ;
5. les données à caractère personnel doivent être effacées pour répondre à une obligation légale incombant au Fonds.

S'il a rendu les données à caractère personnel publiques et est tenu de les effacer, le Fonds, compte tenu des
technologies disponibles et des coûts de mise en oeuvre, prendra des mesures raisonnables pour informer les
responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a
demandé au Fonds l'effacement de tout lien vers ces données à caractère personnel, ou de toute copie ou
reproduction de celles‐ci.

Dans certains cas spécifiques, comme pour l’introduction, l’exercice ou la défense d’une action en justice ou
encore pour le respect d’une obligation légale de traitement de la part du Fonds, ce droit à l’effacement ne
s’appliquera pas.

Droit à la limitation du traitement

La personne concernée a le droit d’obtenir du Fonds la limitation du traitement si un des éléments suivants
s’applique :

1. l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une période permettant au Fonds de vérifier l’exactitude des données à caractère personnel concernées ;
2. le traitement est illicite et la personne concernée s’oppose à l’effacement des données à caractère personnel et demande en lieu et place la limitation de leur utilisation ;
3. le Fonds n’a plus besoin des données à caractère personnel à des fins de traitement mais la personne concernée en a besoin pour l’introduction, l’exercice ou la défense d’une action en justice ;
4. la personne concernée s’est opposée au traitement, dans l’attente d’une réponse à la question de savoir si les motifs légitimes du Fonds prévalent sur ceux de la personne concernée.

Une personne ayant obtenu la limitation du traitement de ses données à caractère personnel sera informée par
le Fonds avant que cette limitation du traitement ne soit levée.

Obligation de notification en ce qui concerne la rectification ou l’effacement des données à caractère
personnel ou la limitation du traitement

Le Fonds informera tout destinataire ayant reçu des données à caractère personnel de la rectification ou de
l’effacement de ces données à caractère personnel ou de la limitation de leur traitement, sauf si cela s’avère
impossible ou demande des efforts disproportionnés. Le Fonds informera la personne concernée sur ces
destinataires si elle en fait la demande.

Droit à la portabilité des données à caractère personnel

Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles
ont fournies au Fonds, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de
transmettre ces données à un autre responsable du traitement sans que le Fonds auquel les données à
caractère personnel ont été communiquées y fasse obstacle, lorsque:

• le traitement repose sur le consentement ou sur un accord et
• le traitement est réalisé à l’aide de procédés automatisés.

Dans le cadre de l’exercice de son droit à la portabilité des données, la personne concernée a le droit de
demander que ses données à caractère personnel, si cela s’avère techniquement possible, soient directement
transmises par le Fonds à l’autre responsable chargé du traitement.

Droit d’opposition

La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation
spécifique, à un traitement des données à caractère personnel la concernant. Le Fonds ne traitera alors plus les
données à caractère personnel, à moins qu'il ne démontre l’existence de motifs légitimes et impérieux pour le
traitement

• qui prévalent sur les intérêts et les droits et libertés de la personne concernée,
• nécessaires pour l’introduction, l'exercice ou la défense d’une action en justice.

Droit de déposer réclamation auprès de l’autorité de contrôle
La personne concernée a le droit de déposer réclamation auprès de l’Autorité de protection des données, Rue
de la Presse 35, 1000 Bruxelles.

Réponses du Fonds aux requêtes

Si la personne concernée introduit par voie électronique une requête portant sur l’exercice de ses droits, les
informations seront si possible également fournies par voie électronique, sauf si la personne concernée
formule une demande contraire. Cela se fera en principe gratuitement, sauf si les requêtes d’une personne
concernée s’avèrent manifestement infondées ou excessives, notamment en raison de leur caractère répétitif.

Le Fonds fournira à la personne concernée une copie des données à caractère personnel traitées. Si la
personne concernée demande des copies complémentaires, le Fonds pourra lui facturer une indemnité
raisonnable pour frais administratifs.

Le Fonds répondra à la requête de la personne concernée dans un délai d’un mois suivant la réception de cette
requête.

Ce délai pourra être prolongé de deux mois. Le Fonds informera la personne concernée de cette prolongation
éventuelle dans un délai d’un mois suivant la réception de la requête.

Si le Fonds ne donne aucune suite à la requête de la personne concernée,

• il devra informer cette dernière ‐ immédiatement et au plus tard dans un délai d’un mois suivant la requête ‐ de la raison pour laquelle cette requête est restée sans suite, et
• il l’informera de la possibilité d'introduire une réclamation auprès de l'Autorité de protection des données et d’introduire un recours auprès du juge.

 

Sécurisation du traitement

Le Fonds et les responsables du traitement prendront, aussi bien lors du choix des moyens de traitement que
lors du traitement proprement dit, toutes les mesures techniques et organisationnelles appropriées pour
garantir un niveau de sécurité adapté au risque. Ces mesures seront évaluées tous les ans et actualisées si
nécessaire.

Évaluation du niveau de sécurité approprié

L’évaluation du niveau de sécurité approprié tiendra notamment compte des risques liés au traitement, surtout
ceux résultant

• de la destruction,
• de la perte,
• de l’altération ou
• de la divulgation non autorisée ou
• de la consultation non autorisée, de manière accidentelle ou illicite, de données à caractère personnel transmises, conservées ou traitées d'une autre manière.

Si le type de traitement choisi, en particulier dans le cas d’un traitement faisant appel aux nouvelles
technologies, et compte tenu de la nature, du volume, du contexte et des finalités de ce traitement, implique
probablement un risque élevé pour les droits et libertés de personnes physiques, le Fonds procédera, avant la
traitement proprement dit, à une évaluation de l’impact des activités de traitement visées sur la protection des
données à caractère personnel.

Pour cette évaluation de l’impact sur la protection des données, le Fonds demandera conseil au DPD.

Si cette évaluation de l’impact sur la protection des données révèle que le traitement présente un risque élevé
en l’absence de mesures par le Fonds pour limiter ce risque, le Fonds consultera, avant de procéder au
traitement, l’Autorité de protection des données.

Si nécessaire, et à tout le moins s’il est question d’une modification du risque impliqué par les traitements, le
Fonds procédera à des tests afin de vérifier si le traitement s’effectue conformément à l’évaluation de l’impact
sur la protection des données.

Mesures

Pour prendre les mesures techniques et organisationnelles appropriées, le Fonds tiendra compte :

• de l’état de la technologie,
• des frais d’exécution,
• de la nature, du volume, du contexte et des finalités du traitement,
• du degré de probabilité et de gravité des risques pour les droits et les libertés des personnes.

Le Fonds prendra des mesures pour que ne soient traitées en principe que les données à caractère personnel
nécessaires pour chaque objectif spécifique. Cette obligation s’appliquera :

• à la quantité de données à caractère personnel collectées,
• à leur degré de traitement,
• au délai pendant lequel elles seront conservées et
• à leur accessibilité.

Ces mesures feront notamment en sorte que les données à caractère personnel ne puissent pas, en principe,
être consultées sans intervention humaine par un nombre illimité de personnes physiques.
Le Fonds prendra des mesures pour veiller à ce que toute personne physique agissant sous son autorité et
pouvant accéder aux données à caractère personnel ne les traite qu’à la demande du Fonds.

Le cas échéant, les mesures techniques et organisationnelles prévoiront notamment :

1. la pseudonymisation et le cryptage des données à caractère personnel ;
2.  la capacité à garantir de manière permanente la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes de traitement et des services ;
3. la capacité, en cas d’incident physique ou technique, de rétablir en temps utile la disponibilité et l’accès aux données à caractère personnel ;
4. une procédure visant à tester, analyser et évaluer à intervalles réguliers l’efficacité des mesures techniques et organisationnelles

 

Sous‐traitants

Si un traitement au profit du Fonds est réalisé par un sous‐traitant, le Fonds fera exclusivement appel à des
sous‐traitants offrant suffisamment de garanties concernant les mesures techniques et organisationnelles
appropriées pour que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la
personne concernée.

Chaque sous‐traitant garantit le fait que ses collaborateurs (travailleurs, consultants, …) mandatés pour traiter
les données à caractère personnel s’est engagé par écrit à respecter leur caractère confidentiel et a bien reçu
une copie de la présente politique de respect de la vie privée.

Dans toute la mesure du possible, un sous‐traitant devra apporter son soutien au Fonds :

• pour répondre aux requêtes introduites par les personnes concernées concernant l’exercice de leurs droits et
• pour procéder à une analyse d’impact relative à la protection des données.

Le sous‐traitant mettra à la disposition du Fonds toutes les informations nécessaires pour attester du respect
des obligations susmentionnées.

Le sous‐traitant permettra et contribuera à la réalisation d’audits par le Fonds ou par un contrôleur mandaté
par le Fonds.

Le sous‐traitant ainsi que toute personne agissant sous son autorité et ayant accès aux données à caractère
personnel traitera exclusivement celles‐ci pour le compte du Fonds. Si un sous‐traitant définit les finalités et
moyens d’un traitement de façon contraire au RGPD, il sera considéré comme responsable du traitement en
question.

Le Fonds donne une autorisation écrite générale en vue du recrutement d’autres sous‐traitants au sein de
l’Union Européenne. Le sous‐traitant devra informer le Fonds de son intention d’ajouter ou remplacer un soustraitant.
Le Fonds aura la possibilité de s’opposer à ces changements.
Si un sous‐traitant engage un autre sous‐traitant pour réaliser des activités de traitement spécifiques pour le
compte du Fonds, un contrat imposera à cet autre sous‐traitant les mêmes obligations de protection des
données que celles convenues entre le Fonds et le sous‐traitant initial.

Si l’autre sous‐traitant ne respecte pas ses obligations en matière de protection des données, le premier soustraitant
restera entièrement responsable vis‐à‐vis du Fonds du non‐respect des obligations de cet autre soustraitant.

En cas de violation des données à caractère personnel, le sous‐traitant informera immédiatement le Fonds dès
qu’il aura connaissance de cette violation.
Au terme des services de traitement et selon le choix du Fonds, le sous‐traitant effacera toutes les données à
caractère personnel ou les restituera au Fonds et supprimera toutes les copies existantes, sauf si la sauvegarde
des données à caractère personnel est imposée par la loi.

Le traitement par un sous‐traitant sera régi par un contrat liant le sous‐traitant vis‐à‐vis du Fonds.

 

Notification d’une violation à l'Autorité de protection des données

En cas de violation de données à caractère personnel, le Fonds en informera l'Autorité de protection des
données dans les meilleurs délais et, si possible, au plus tard 72 heures après en avoir pris connaissance, à
moins que la violation en question ne comporte pas forcément de risque pour les droits et libertés des
personnes physiques.

En cas de notification à l'autorité de contrôle au‐delà de 72 heures, celle‐ci devra être accompagnée d’une
motivation du retard.

Le sous‐traitant informera immédiatement le Fonds dès qu’il aura connaissance d’une violation dans le cadre
des données à caractère personnel.

Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les
informations pourront être communiquées de manière échelonnée sans autre retard indu.

Le Fonds documentera toutes les violations dans le cadre des données à caractère personnel (faits,
conséquences, mesures correctrices).

 

Communication à la personne concernée d'une violation dans le cadre de données à
caractère personnel

Si une violation dans le cadre de données à caractère personnel comporte vraisemblablement un risque élevé
pour les droits et libertés d'une personne physique, le Fonds communiquera la violation de données à
caractère personnel à la personne concernée dans les meilleurs délais.

Ces informations comporteront un descriptif :

1. du nom et des coordonnées du DPD ou d’un autre interlocuteur susceptible de fournir de plus amples informations
2. des conséquences probables de la violation des données à caractère personnel
3. des mesures (qui seront) prises par le Fonds, y compris celles destinées à limiter l’impact négatif de la violation des données à caractère personnel.

La notification à la personne concernée ne sera pas exigée lorsqu’une des conditions suivantes sera remplie :

1. le Fonds a pris les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures rendant les données à caractère personnel incompréhensibles pour toute personne non autorisée à y avoir accès, telles que le cryptage ;
2. le Fonds a pris des mesures ultérieures pour que le risque élevé pour les droits et libertés des personnes concernées ne soit plus susceptible de se matérialiser ;
3. la notification exigerait des efforts disproportionnés. Dans ce cas, il sera plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.

 

Autorité de contrôle

En Belgique, l’autorité veillant au respect du RGPD est la Commission de protection de la vie privée, appelée
« Autorité de protection des données » à partir du 25 mai 2018.

 

Droit d’introduire une réclamation auprès d’une autorité de contrôle

Toute personne concernée a le droit d’introduire une réclamation auprès de l’Autorité de protection des
données si elle estime que le traitement des données la concernant ne respecte pas le RGPD.

 

Droit d’introduire un recours juridictionnel effectif contre le Fonds ou un sous‐traitant

Toute personne concernée a le droit d’introduire un recours juridictionnel effectif si elle estime que ses droits
résultant du RGPD ont été violés à la suite d’un traitement de ses données à caractère personnel ne répondant
pas aux exigences du RGPD.

Responsabilité

Le Fonds est responsable des dommages engendrés par un traitement ne respectant pas le RGPD.
Un sous‐traitant est également responsable des dommages engendrés par le traitement lorsque celui‐ci ne
répond pas aux obligations du RGPD incombant spécifiquement aux sous‐traitants ou lorsqu’il a agi en‐dehors
des instructions licites du Fonds ou contrairement à celles‐ci.
Le Fonds ou son sous‐traitant sera dégagé de toute responsabilité s’il démontre qu’il n’est en aucune façon
responsable de l’acte à l’origine du dommage.

 

Amendes administratives

Toute violation des dispositions prévues par le RGPD fera l’objet d’amendes administratives.

Pour décider s'il y a lieu d'imposer une amende administrative ainsi que du montant de celle‐ci, il sera dûment
tenu compte, dans chaque cas d'espèce, des éléments suivants :

1. la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement ;
2. le nombre de personnes affectées et l’ampleur des dommages qu'elles ont subis ;
3. la nature intentionnelle ou par négligence de la violation ;
4. les mesures prises par le Fonds ou le sous‐traitant pour limiter les dommages subis par les personnes concernées ;
5. le degré de responsabilité du Fonds ou du sous‐traitant, compte tenu des mesures techniques et organisationnelles mises en oeuvre ;
6. toute violation pertinente commise précédemment par le Fonds ou le sous‐traitant ;
7. le degré de collaboration avec l'Autorité de protection des données en vue de remédier à la violation et d'en limiter les éventuelles conséquences négatives ;
8. les catégories de données à caractère personnel concernées par la violation.

Annexe 1 : Définitions

Aux fins de la présente politique de respect de la vie privée, on entend par :

1) « Données à caractère personnel » :

Toute information se rapportant à une personne physique identifiée ou identifiable (dénommée ci‐après « la
personne concernée ») ; est considérée comme « identifiable », une personne physique pouvant être
identifiée, directement ou indirectement, notamment au moyen d’un identifiant, comme un nom, un numéro
d'identification, des données de localisation, un identifiant en ligne, ou d’un ou plusieurs éléments spécifiques
propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

2) « Traitement » :

Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et portant
sur des données ou ensembles de données à caractère personnel, comme la collecte, l'enregistrement, le
classement, la structuration, la conservation, l'adaptation ou la modification, la demande, la consultation,
l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le
rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

3) « Limitation du traitement » :

Marquage de données à caractère personnel conservées, en vue d’en limiter le traitement à l’avenir.

4) « Profilage » :

Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à
caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment
pour analyser ou prédire des éléments comme les performances au travail, la situation économique, la santé,
les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de
cette personne physique.

5) « Pseudonymisation » :

Le traitement de données à caractère personnel de manière à ce que celles‐ci ne puissent plus être reliées à
une personne concernée précise sans avoir recours à des informations complémentaires, pour autant que ces
informations complémentaires soient conservées séparément et soumises à des mesures techniques et
organisationnelles afin de garantir que les données à caractère personnel ne soient pas reliées à une personne
physique identifiée ou identifiable.

6) « Fichier » :

Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet
ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

7) « Responsable du traitement » :

Personne physique ou morale, autorité publique, service ou autre organisme qui, seul ou conjointement avec
d'autres, détermine les finalités et moyens du traitement ; lorsque les finalités et les moyens de ce traitement
sont déterminés par le droit de l'Union ou le droit d'un État membre, le Fonds ou les critères spécifiques
applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.

8) « Sous‐traitant » :

Personne physique ou morale, autorité publique, service ou autre organisme qui traite des données à caractère
personnel pour le compte du Fonds.

9) « Destinataire » :

Personne physique ou morale, autorité publique, service ou autre organisme, tiers ou non, à qui des données à caractère personnel sont communiquées. Les autorités publiques susceptibles de recevoir des données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont toutefois pas considérées comme destinataires ; le traitement de ces données par ces autorités publiques est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.

10) « Tiers » :

Personne physique ou morale, autorité publique, service ou organisme autre que la personne concernée, le

Fonds, le sous‐traitant et les personnes qui, sous l'autorité directe du Fonds ou du sous‐traitant, sont
autorisées à traiter les données à caractère personnel.

11) « Consentement de la personne concernée » :

Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée
accepte, par une déclaration ou un acte actif clair, que des données à caractère personnel la concernant fassent
l'objet d'un traitement.

12) « Violation de données à caractère personnel » :

Violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la
divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre
manière, ou l'accès non autorisé à de telles données.

13) « Données concernant la santé » :

Données à caractère personnel liées à la santé physique ou mentale d'une personne physique, y compris les
données sur les services de santé prestés, donnant des informations sur l'état de santé de cette personne.

14) « Représentant » :

Personne physique ou morale établie dans l'Union, désignée par écrit par le Fonds ou le sous‐traitant pour les
représenter dans le cadre de leurs obligations respectives en vertu de ce règlement.

15) « Entreprise » :

Personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris
les sociétés civiles et sociétés de personnes ou associations exerçant régulièrement une activité économique.

16) « Autorité de contrôle » :

Autorité publique indépendante instituée par un État membre. En Belgique, il s’agit de la Commission de
protection de la vie privée, appelée Autorité de protection des données à partir du 25 mai 2018.

17) « Catégories particulières de données à caractère personnel » :

Les données suivantes sont considérées comme relevant de catégories particulières de données à caractère
personnel dont le traitement est en principe interdit :

• données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance à un syndicat,
• données génétiques, données biométriques aux fins d'identifier une personne physique de manière unique,
• données concernant la santé,
• données concernant le comportement sexuel ou l'orientation sexuelle d'une personne physique.

Le responsable du traitement peut malgré tout traiter exceptionnellement certaines catégories de données à
caractère personnel, notamment quand :

• la personne concernée a donné son consentement explicite pour le traitement de ces données à caractère personnel,
• le traitement est indispensable aux fins de respecter les obligations et les droits propres au Fonds ou à la personne concernée en matière de droit du travail, de sécurité sociale et de protection sociale,
• le traitement est indispensable
  • à des fins de médecine préventive ou de médecine du travail
  • pour l’évaluation de la capacité de travail du travailleur
  • pour des diagnostics médicaux
  • pour la prestation de soins de santé ou de services sociaux ou traitements
  • pour la gestion des systèmes et services de soins de santé ou sociaux

et lorsque le traitement de ces données est effectué par ou sous la responsabilité d’un praticien de la
santé tenu au secret professionnel, ou par une autre personne également soumise à une obligation de
secret sur une base légale ou en vertu de règles fixées par des instances nationales compétentes.

• le traitement est indispensable à des fins d’archivage dans l'intérêt général, à des fins de recherche scientifique ou historique ou à des fins statistiques et pour autant que :
  • la proportionnalité avec l'objectif poursuivi soit garantie
  • l'essence du droit à la protection des données soit respectée
  • des mesures appropriées et spécifiques soient prises pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.