POLITIQUE DE CONFIDENTIALITÉ DE L’ENTREPRISE

1. Objectif

Le présent document constitue la politique de confidentialité mise en œuvre par le Groupe Herstal, ci-après dénommé « l’entreprise », dans le cadre de ses activités. L’entreprise est composée des entités juridiques suivantes :

  • HERSTAL SA
  • FN HERSTAL
  • BROWNING International
  • BROWNING SA
  • HERSTAL Group Services

La protection de votre vie privée et de vos données à caractère personnel est d’une importance capitale pour l’entreprise.

Cette politique de confidentialité est rédigée afin de garantir le respect du Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/EC (règlement général sur la protection des données, ou RGPD).

Cette politique de confidentialité a pour but de vous informer comment l’entreprise collecte, utilise et conserve vos données à caractère personnel.

 

 

2. Quelle est la portée de cette politique ?

Que recouvre le « traitement de vos données » et qui en est responsable ?

Nous recueillons et utilisons uniquement les données personnelles qui sont nécessaires dans le cadre de nos activités et qui nous permettent de proposer des services de qualité.

Nous sommes en conséquence votre interlocuteur ainsi que celui des autorités de contrôle (par exemple « l’Autorité de la Protection des Données ») pour toute question relative à l’utilisation de vos données.

Pour certains services, nous faisons appel à des tiers spécialisés qui, dans certains cas, agissent comme sous-traitants. Ceux-ci doivent alors suivre nos directives et respecter notre politique de confidentialité. Dans d’autres cas, ces tiers sont aussi (co-)responsables du traitement et doivent de leur côté respecter leurs obligations légales en la matière.

Nous nous assurons que ces sous-traitants ne reçoivent que les données strictement nécessaires pour exécuter leur partie du contrat.
Nous sommes également susceptibles d’intervenir en qualité de sous-traitant pour d’autres entités juridiques. Dans ce cas, ce sont ces entités qui sont Responsables du traitement des données à caractère personnel. Nous suivons alors leurs instructions.

Quelles données sont couvertes par notre politique ?

Les données couvertes par la présente politique sont les données à caractère personnel des personnes physiques, c’est-à-dire des données qui permettent directement ou indirectement d’identifier une personne.

Dans le cadre de vos relations et interactions avec l’entreprise, nous pouvons être amenés à collecter différentes données à caractère personnel telles que :

  • données d’identification et de contact (exemples : vos titre, nom, adresse, date et lieu de naissance, numéro de registre national, numéro de compte, numéro de téléphone, adresse mail, adresse IP, profession) ;
  • situation familiale (exemples : état civil, nombre d’enfants) ;
  • données bancaires, financières et transactionnelles (exemples : coordonnées bancaires, numéros de compte, données relatives aux virements y compris la communication, et, de façon générale, toutes données enregistrées lors de vos transferts bancaires) ;
  • données relatives à vos comportements et habitudes concernant l’utilisation de nos canaux (exemples : notre site Internet) et nos produits ;
  • données relatives à vos préférences et intérêts, que vous nous communiquez directement ou indirectement, par exemple via participation à nos événements ou enquêtes, … ;
  • données provenant de vos interactions sur nos pages dédiées sur les réseaux sociaux (exemples : Facebook et LinkedIn) ;

 

Nous ne traitons jamais de données relatives à vos origines raciales ou ethniques, vos opinions politiques, votre religion, vos convictions philosophiques ou l’appartenance syndicale, vos données génétiques, votre vie sexuelle ou orientation sexuelle à moins que la législation nous l’impose ou que cela résulte de l’exécution que vous faites de nos produits et services.

 

 

3. Principes directeurs pour traiter les données à caractère personnel

Nous respectons entre autres les principes suivants lors des traitements de données à caractère personnel dans le cadre de la gestion et de l’exécution de nos engagements :

  • Traitement licite de données : nous traitons les données à caractère personnel d’une manière licite dans le cadre de nos activités ;
  • Finalités déterminées et limitation des finalités : nous collectons et traitons les données à caractère personnel pour les finalités licites déterminées ci-après ;
  • Minimisation du traitement des données : nous limitons le traitement des données à caractère personnel à ce qui est nécessaire dans le cadre de nos activités ;
  • Exactitude des données à caractère personnel : nous prenons toutes les mesures raisonnables pour veiller à ce que les données à caractère personnel soient exactes et qu’elles soient rectifiées et/ou effacées sans tarder si elles n’apparaissent plus exactes ;
  • Limitation du traitement et de la conservation : nous ne traiterons et ne conserverons pas plus longtemps que nécessaire à la réalisation de nos activités les données à caractère personnel ;
  • Mesures de sécurité : nous prenons les mesures techniques et/ou organisationnelles nécessaires et adéquates pour la sécurité des données à caractère personnel.

 

 

4. Quand vos données à caractère personnel sont-elles collectées ?

Les données que nous utilisons dans le but de vérifier ou d’enrichir nos bases de données peuvent être collectées soit directement auprès de vous, soit obtenues des sources suivantes :

  • des publications/bases de données rendues accessibles par les autorités officielles (exemple : le Moniteur Belge) ;
  • nos entreprises clientes ou nos fournisseurs de services ;
  • des sites Internet/pages de réseaux sociaux contenant des informations que vous avez rendues publiques (exemple : votre site web ou réseau social) ;
  • des bases de données rendues publiques par des tiers
  • dans le cadre de l’exécution d’un contrat ou la prise de mesures précontractuelles ;
  • afin de nous conformer aux dispositions légales et réglementaires auxquelles nous sommes soumis ;
  • pour des raisons qui relèvent de l’intérêt légitime de la société (voyez des illustrations ci-dessous). Lorsque nous effectuons ce type de traitement, nous veillons à préserver l’équilibre entre cet intérêt légitime et le respect de votre vie privée ;
  • quand nous avons obtenu votre consentement.

Les données à caractère personnel sont traitées par l’entreprise pour les finalités qui incluent, mais ne sont pas limitées à :

  • vous fournir des informations relatives à nos produits et services ;
  • vous assister et répondre à vos demandes ;
  • permettre la bonne exécution des conventions conclues ;
  • assurer la gestion financière et comptable de l’entreprise ;
  • assurer une bonne gestion de la clientèle, du matériel, des services après-vente et des fournisseurs ;
  • établir des profils d’utilisation et pour autant que vous y ayez marqué votre consentement ;
  • réaliser des opérations d’information et/ou de promotion sur les produits et services, ceux des sociétés de son groupe et/ou de ses partenaires commerciaux ;
  • réaliser une amélioration des services existants (ou en cours de développement) grâce à des enquêtes auprès de clients ou de clients potentiels, des statistiques, des tests, des commentaires que vous nous adressez directement ou que vous publiez sur nos sites web ;
  • répondre aux obligations légales et réglementaires parmi lesquelles les réponses aux demandes officielles d’autorités publiques ou judiciaires dûment autorisées ;
  • détecter et prévenir des abus et des fraudes : nous traitons et gérons des données de contact et de sécurité (lecteur de carte, mot de passe …) afin de valider, suivre et assurer la sécurité des transactions et communications via nos canaux à distance ;
  • assurer la fourniture de services en faisant appel à des sous-traitants ;
  • assurer le suivi de nos activités de recherches et de développement ;
  • améliorer la qualité du service individuel à nos clients et partenaires ;
  • exercer des activités de prospection relatives à des services de l’entreprise ;
  • assurer la sécurisation de nos locaux et infrastructures, ainsi que des personnes en ces lieux.

 

 

6. Qui a accès à vos données et à qui sont-elles transférées ?

Seuls les utilisateurs autorisés ont accès à vos données à caractère personnel afin d’accomplir les finalités précitées. Il faut entendre par utilisateur autorisé les personnes qui, dans le cadre de l’exercice de leur fonction au sein de l’entreprise sont autorisées, dans le cadre des activités réalisées, à traiter des données à caractère personnel sur la base des directives de l’entreprise.

Afin d’accomplir les finalités précitées, l’entreprise divulgue vos données personnelles à/aux :

 

 

Certaines données sont archivées pour des durées plus longues afin de répondre à nos obligations légales et à des fins de preuve notamment pour sauvegarder vos droits. Ces données archivées sont uniquement accessibles pour des besoins de preuve en justice, de contrôle par une Autorité autorisée (par exemple par l’autorité fiscale), pour des raisons de production de documents devant les autorités judiciaires, administratives ou des services de police.

 

 

En cas de violation ou de fuite informatique, comme décrite ci-dessous, nous prendrons les mesures nécessaires/adéquates pour en constater l’étendue et les conséquences, y mettre fin le plus vite possible et, le cas échéant, limiter son impact pour les personnes concernées.

 

 

Conformément à la règlementation applicable, vous disposez de différents droits :

  • le droit de demander l’accès aux données à caractère personnel (A)
  • le droit à la rectification (A)
  • le droit à l’effacement des données(A)
  • le droit de s’opposer au traitement (B)
  • le droit de retirer son consentement (B)
  • le droit de demander une limitation du traitement (B)
  • le droit à la portabilité des données (C)

 

Dans certaines circonstances, la personne concernée peut, conformément à la règlementation en matière de protection des données, demander l’effacement d’une donnée à caractère personnel la concernant, entre autres si la donnée à caractère personnel n’est plus nécessaire pour les finalités pour lesquelles elle avait été collectée ou traitée. L’entreprise peut cependant refuser d’effacer ces données, par exemple pour l’introduction, la mise en œuvre ou la preuve d’un droit en justice.

Dans un souci de tenir vos données parfaitement à jour, nous vous prions de nous informer de tout changement (exemple : changement d’état civil, de domicile).

 

Ce droit ne peut cependant s’exercer que dans certaines conditions :

Par contre, vous ne pouvez pas vous opposer à un traitement nécessaire à l’exécution d’un contrat conclu avec vous ou à l’exécution des mesures précontractuelles prises à votre demande ; ni au respect de toute disposition légale ou réglementaire à laquelle nous sommes soumis.

Si vous avez donné votre consentement au traitement de vos données personnelles, vous avez le droit de retirer ce consentement à tout moment.

 

C. Le droit à la portabilité ?

Lorsque cela est nécessaire et dans la mesure où cela est applicable, la personne concernée peut demander de recevoir certaines données à caractère personnel qu’elle a fournies à l’entreprise dans le cadre de la gestion et de l’exécution de ses activités, et de transférer ces données vers un autre Responsable du traitement. Lorsque cela est techniquement possible, la personne concernée peut demander à l’entreprise de transférer directement ces données vers un autre Responsable du traitement.

Conformément à la règlementation, vous êtes en droit d’introduire une réclamation auprès de l’Autorité de contrôle compétente.

 

 

10. Transfert des données en dehors de l’EEE ?

Pour des transferts vers des pays en dehors de l’EEE pour lesquels la Commission européenne n’a pas rendu de décision d’adéquation, nous nous appuyons soit sur une dérogation applicable à la situation (p. ex. : en cas de paiement à l’international, le transfert est nécessaire à l’exécution du contrat), soit sur le fait que le destinataire des données a accepté de traiter les données à caractère personnel conformément aux « Clauses Contractuelles Types » établies par la Commission européenne pour les Responsables des données ou les sous-traitants.

Pour obtenir une copie de ces textes ou savoir comment y accéder, vous pouvez adresser une demande écrite de la manière indiquée à l’article 13.

 

 

En cas de violation de données à caractère personnel, des mesures adéquates sont prises le plus rapidement possible pour minimiser le risque de dommage pour les personnes concernées ainsi que pour l’entreprise (atteinte à la réputation, sanctions imposées, …).

Dans tous les cas, tous les utilisateurs autorisés, ainsi que toutes les autres personnes qui consultent, utilisent ou gèrent des informations de l’entreprise, doivent signaler immédiatement toute violation de la sécurité et les incidents en lien avec la sécurité des informations au “Responsable Vie Privée” de sorte qu’une analyse puisse immédiatement être faite, les mesures nécessaires prises et pour savoir si la violation doit être signalée à l’Autorité de Protection des Données et/ou aux personnes concernées.

Lorsque le signalement est réalisé par courriel, il est important que celui-ci soit envoyé au “Responsable Vie Privée” (voir Section 10.2) et qu’il soit expressément indiqué dans l’objet du courriel qu’il s’agit d’un message avec urgence élevée à propos d’une possible violation en lien avec les données à caractère personnel.

L’information doit contenir une description complète et détaillée de l’incident, en ce compris l’identité de la personne qui fait le signalement (nom, prénom, adresse, courriel (le cas échéant) et numéro de téléphone), de quel type d’incident il s’agit, et combien de personnes sont concernées.

 

L’enquête indiquera quelle est la nature de l’incident, le type de données visées et si spécifiquement des données à caractère personnel sont impactées (et dans l’affirmative, qui sont les personnes concernées et combien de données à caractère personnel sont touchées). L’enquête déterminera s’il s’agit d’une violation ou non des données à caractère personnel.

S’il s’agit d’une violation, une analyse des risques sera effectuée pour savoir quelles sont (peuvent être) les conséquences possibles de la violation, et en particulier les impacts (possibles) pour les personnes concernées.

L’entreprise décidera ensuite, sur la base du caractère de la violation, s’il y a ou non une obligation d’effectuer une notification à l’Autorité de Protection des Données et/ou à la personne concernée.

 

Nous examinerons les suites données au traitement de la violation consignée dans le rapport.

 

 

Nous vous invitons à prendre connaissance de la dernière version de ce document sur nos sites web et nous vous informerons de toute modification substantielle par le biais de nos sites ou par nos modes de communications habituels.

 

 

Les membres de notre personnel ainsi que les candidats aux fonctions vacantes et les anciens travailleurs de l’entreprise peuvent également consulter la « Politique de confidentialité RH » sur l’intranet du Groupe Herstal.

La présente Politique de confidentialité est applicable à dater du 25 mai 2018.