Menu
FAQ
GDPR
Qu'est-ce que le RGPD ?
« RGPD » est l’acronyme de Règlement Général sur la Protection des Données (ou GDPR pour General Data Protection Regulation en anglais). Le RGPD est la nouvelle réglementation en vigueur en matière de protection des données et remplace les anciens textes sur le sujet (la Directive 95/46/CE et la loi vie privée du 8 décembre 1992).

Le RGPD est entré en vigueur le 25 mai 2018. Bien que les grands principes du RGPD soient les mêmes que ceux des législations antérieures, il présente aussi certaines nouveautés (en matière de droits accordés aux personnes dont les données sont traitées et d’obligation des sous-traitants, par exemple).

 
Qu’a fait Securex pour se conformer au RGPD ?
Securex a élaboré un plan d’action afin d’assurer le respect des règles du RGPD dans tous les aspects de ses activités et processus. Ce plan est maintenant en vigueur, mais il n’est pas encore complètement achevé. Un visuel reprenant les grands axes de ce plan d’action (workstreams) est disponible ici.
Securex est-il conforme à la directive RGPD ?
Securex a élaboré un plan d'action afin de s'assurer qu'il respecte les règles du RGPD dans tous les aspects de ses activités et processus.
Securex dispose-t-il d’une certification RGPD ?
Bien que les autorités européennes souhaitent que les systèmes de certification RGPD soient développés en temps utile, ceux-ci n’existent pas encore. Securex suit la situation de près. Le moment venu, nous évaluerons s’il est souhaitable d’y adhérer. Actuellement, notre secrétariat social dispose d’une certification ISAE 3402. Dans ce cadre, une évaluation du respect du RGPD va être réalisée. De même, l’activité de SEPP (Service Externe de Prévention et Protection) est certifiée ISO9001.
Securex dispose-t-il d’un 'Data Protection Officer' ?
Oui. Une des nouveautés du GDPR est d’imposer dans certains cas aux entreprises de nommer un 'Data Protection Officer' (DPO) comme, par exemple, quand les activités de base de l’entreprise en question consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées.

Ceci est le cas pour Securex qui, dans ses différentes activités, traite un grand nombre de données personnelles de travailleurs, indépendants ou chefs d’entreprises (ou de leurs familles pour ce qui concerne l’activité de caisse d’allocations familiales).
 
Est-ce que Securex est responsable de traitement ou sous-traitant ?
C’est une question à laquelle il faut répondre activité par activité. Pour un grand nombre d’activités, Securex est sous-traitant (par ex. : l’activité d’administration des salaires dans les différentes entités secrétariat social) car il traite des données personnelles d’employés sur base d’instructions des employeurs qui sont, eux, les responsables de traitement. Pour d’autres activités, Securex est responsable de traitement car il détermine lui-même les finalités du traitement des données et les modalités de celui-ci (par ex. : assurances, enquêtes) ou la loi lui donne cette qualité (par ex. : contrôle médical, SEPP).
En tant qu’employeur, suis-je le responsable du traitement de mes données RH ?
De manière générale, pour ce qui concerne les activités de secrétariat social, l’employeur (vous) est le responsable du traitement (puisque vous donnez les instructions nécessaires à l’établissement et l’envoi de la fiche de paie) et Securex secrétariat social est le sous-traitant (puisque Securex agit sur base de vos instructions).

De même, si vous faites appel à un consultant RH de Securex, vous êtes le responsable du traitement pour les données traitées par ce consultant et Securex le sous-traitant.

Par contre, lorsque vous souscrivez à une assurance de Securex (ex : assurance accident du travail ou revenu garanti), Securex est le responsable du traitement des données traitées en exécution de ce contrat d’assurance.

De manière similaire, en ce qui concerne les prestations de médecine préventive (SEPP) et de médecine de contrôle (MCM), Securex est le responsable du traitement des données relatives à la santé des travailleurs concernés (en raison de l’indépendance du médecin par rapport à l’employeur).
Qu’est-ce qu’une violation de données ?
Une violation de données (ou data breach en anglais) est tout cas où une violation de la sécurité entraîne de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d'une autre manière. Sont donc, par exemple, des violations de données au sens du RGPD : l’intrusion sur un serveur avec consultation des données personnelles qui s’y trouvent, la destruction accidentelle (en dehors de toutes les procédures de sécurité informatique prévues pour le faire) d’un disque dur sur lequel se trouve des données personnelles, la divulgation non autorisée de données personnelles obtenues sur l’infrastructure du Groupe Securex.
Que se passe-t-il en cas de violation de données ?
Dans le cas où Securex est sous-traitant (pour le secrétariat social, par exemple), il vous avertira par le biais d’un formulaire spécifique dans les meilleurs délais. Ce formulaire reprendra toutes les informations nécessaires pour vous permettre de remplir vos obligations de notification à l’Autorité de Protection des Données personnelles (APD).

Le responsable du traitement (vous pour le secrétariat social et/ou Securex-même pour d’autres missions, cf. ci-dessus) doit, dans certains cas, notifier l’APD de la survenance d’une violation de données.

Securex a mis en place une procédure et des formulaires adéquats pour vous communiquer dans les délais nécessaires les informations à reprendre dans la notification que vous devriez faire à la CPVP (ou pour remplir sa propre obligation de notification à la CPVP le cas échéant).
 
Quelles sont les mesures de sécurité appliquées par Securex pour la protection des données personnelles traitées ?
Securex a mis en place des mesures organisationnelles (nomination d’un DPO, d’un CISO…) et procédurales (procédures, polices, manuel de sécurité) afin d’assurer la sécurité informatique et physique des données personnelles qu’il traite. De plus, certaines de ses activités font l’objet de certifications (le secrétariat social dispose d’une certification ISAE 3402 et l’activité de SEPP est certifiée ISO9001).
Quelles sont mes obligations en tant qu’employeur dans le cadre du RGPD ?
  • En ce qui concerne vos obligations en tant qu’employeur, cliquez ici pour une série d’articles sur lex4you.be
  • Si vous recherchez un modèle de Privacy Policy ou de registre de données pour un traitement RH, rendez-vous sur notre e-shop ou contactez votre Legal Advisor
  • Si vous souhaitez un avis concret et/ou connaître l’impact du GDPR sur vos politiques RH, vous pouvez obtenir un avis payant et/ou demander un screening GDPR de toutes vos politiques RH (payant) à votre Legal Advisor
  • Si vous souhaitez suivre une formation sur le GDPR, vous pouvez consulter notre agenda de formations
Pouvez-vous me communiquer un modèle de registre RGPD pour mes activités ?
Securex ne peut exercer de missions de consultance générale RGPD. Nous pouvons toutefois vous aider avec un modèle de registre pour le traitement RH de données personnelles. Dans ce cadre, nous avons un modèle de document à disposition via notre e-shop ou à demander directement via nos Legal Advisors.
Où sont localisées les données de mes employés que Securex traite ?
Les serveurs de Securex (sur lesquels sont localisées, par exemple, les données de vos employés pour les prestations de secrétariat social) sont situés en Belgique.

Pour certains services spécifiques, des sous-traitants peuvent avoir accès à certaines données personnelles, et ce de manière limitée. Dans ce cas, la politique de Securex est d’exiger que ces données soient traitées dans l’Union Européenne par ces sous-traitants ou dans des conditions de protection adéquate (par ex : par une entreprise US certifiée 'EU-US Privacy Shield' ou avec laquelle des 'EU Model Clauses' ont été signées).