Politique de confidentialité

QUELS SONT VOS DROITS VIS-A-VIS DE VOS DONNEES PERSONNELLES ?

Droit d’accès : vous avez le droit de prendre connaissance des données que nous détenons sur vous et de vérifier à quelles fins elles sont utilisées.

Droit de rectification : vous avez le droit d’obtenir la correction des données à caractère personnel erronées vous concernant, ainsi que le droit de compléter des données à caractère personnel incomplètes.

Droit à l’oubli ou à la limitation des données : vous avez le droit de nous demander d’effacer les données à caractère personnel vous concernant ainsi que de limiter le traitement de ces données dans les circonstances et sous les conditions stipulées dans le règlement général de la protection des données. Nous pouvons refuser l’effacement ou la limitation des données nécessaires à l’exécution d’une obligation légale.

Droit à la portabilité des données : vous avez le droit de nous demander de transmettre vos données à caractère personnel vers une autre structure, un autre professionnel de votre choix.

Droit d’opposition : vous avez le droit de vous opposer au traitement de vos données à caractère personnel pour des raisons sérieuses et légitimes.  Vous ne pouvez toutefois pas vous opposer contre le traitement des données nécessaires pour l’exécution d’une obligation légale.

Droit de retrait du consentement : Si le traitement des données à caractère personnel est basé sur votre consentement préalable, vous disposez du droit de retirer ce consentement.

 

Politique de sécurité

Gestion des accès informatiques

Les personnes autorisées à avoir accès au système de traitement des données sont uniquement les personnes sous contrat de travail avec le R.A.T. Lors de leur engagement ou lors de la signature de la convention, les travailleurs signent un engagement de confidentialité des personnes ayant vocation à traiter des données personnelles.

Aucun travailleur n’a le droit de donner accès au système informatique à un tiers sans le consentement de l’organe administratif. L’accès au système informatique est contrôlé via un login et mot de passe. Ce mot de passe ne pourra pas être noté à côté du système informatique ou communiqué à des tiers, et aucune forme de pré-enregistrement ne pourra être utilisée.

Une personne de référence concernant la sécurité informatique est désignée. Cette personne se charge de créer des comptes utilisateurs spécifiques pour chaque travailleur et communique les codes d’accès à la direction afin de pouvoir modifier les accès lors d’un changement de personnel.

Les ordinateurs sont programmés pour se mettre en veille à partir de 5 minutes d’inutilisation et il faut réintroduire le mot de passe pour rouvrir la session.

En fin de journée, les comptes utilisateurs doivent d’être déconnectés et les ordinateurs éteints.

Mises à jour des logiciels et antivirus

Le R.A.T. veille à effectuer régulièrement les mises à jour du système et des logiciels utilisés. Lors de la configuration de nouveaux logiciels, la mise à jour automatique de la sécurité doit être cochée. Le système est régulièrement contrôlé à l’aide d’un antivirus.

Back-up

La sauvegarde automatique des données sur un serveur (ou à défaut un disque dur externe à garder en lieu sûr) est utilisée. Les documents sont en priorité enregistrés sur ce serveur et aucun document contenant des données personnelles n’est enregistré sur le bureau d’un ordinateur (et donc hors serveur et protection adéquate).

Les clouds (espaces de stockage de données sur le web) sont proscrits car ils sont sujets au piratage. Une exception peut cependant être faite, avec l’accord de la direction, pour les clouds hébergés en Europe prouvant leur conformité au RGPD.

La sécurité du Wi-Fi

L’accès au Wi-Fi est sécurisé, notamment via un mot de passe différent de celui repris sur le routeur.

La fonction pare-feu est activée sur tous les ordinateurs. L’antivirus et le pare-feu sont régulièrement contrôlés et mis à jour.

Le contrôle des messageries

Le R.A.T. applique des règles de sécurité en matière de messagerie. Le compte est régulièrement vérifié contre le piratage. Les pièces jointes d’expéditeurs inconnus et/ou douteux ne sont ni ouvertes ni téléchargées. L’ouverture automatique des téléchargement est désactivée. L’aval de la direction et/ou du référent à la sécurité doit systématiquement être demandé pour le téléchargement de logiciels.

Le cryptage des données

Les données collectées doivent être cryptées via un logiciel, particulièrement lorsqu’elles font l’objet d’un transfert. Les documents stockés sur le serveur sont cryptés.

La destruction des données

Toute destruction de documents contenant des données personnelles doit se faire à l’aide d’une déchiqueteuse. Tout dossier/fichier informatique contenant des données personnelles doit être supprimé dans la corbeille et celle-ci doit être vidée systématiquement après chaque destruction de documents.

La sécurité des accès physiques

L’accès physique aux dossiers tant papiers qu’informatisés est limité aux travailleurs qui en ont légitimement l’accès, de par leur profession ou de par leur fonction. La configuration des espaces de travail ne doit pas permettre un accès aisé au matériel informatique et/ou aux dossiers papiers.

Les règles de sécurité générales s’appliquent, telles que la fermeture à clef et l’installation d’un système d’alarme. De plus, les armoires contenant des données personnelles des bénéficiaires et des travailleurs sont fermées à clef.

La vérification des partenaires et sous-traitants

Le R.A.T. s’assure que tout sous-traitant avec qui il travaille soit en conformité avec les règles énoncées au RGPD. Pour ce faire, il signe un contrat de sous-traitance qui indique que le sous-traitant s’engage à mettre en œuvre les mesures de sécurité adéquates.

Règle en matière de fuite des données

En cas de perte, fuite ou envoi involontaire de données, le référent interne sur le RGPD notifie la fuite de données à l’Autorité de Protection des Données le plus rapidement après constat. Si les données perdues peuvent nuire gravement à la personne, celle-ci est informée. Il lui est décrit, en termes clairs et simples, la nature de la violation de données à caractère personnel. La violation est alors décrite au registre d’Activité de Traitement et un protocole de sécurité est mis en place pour prévenir sa répétition.

Exercice des droits de la personne concernée

Toute personne physique est en droit de demander la rectification, l’effacement, l’accès, l’inventaire de ses données. Pour garantir sa sécurité, la personne doit prouver son identité en présentant sa carte d’identité. Le R.A.T. est dans l’obligation de s’exécuter, lorsque celle-ci est légitime et non régie par une règlementation/Loi. Dans tous les cas – légitimité ou non –, le R.A.T. répond à la demande, par écrit, afin de confirmer à la personne physique l’exécution de ses droits ou la limite de ceux-ci en regard de la législation.

Toute demande d’effacement de données doit être exécutée (si légitime) dans les trente jours suivant la demande. Tout retrait de consentement est lui actif immédiatement.