Déclaration de confidentialité
Par la présente déclaration, EASYPAY GROUP souhaite indiquer sa détermination à assurer un niveau de sécurité des données de premier plan, en tenant compte de la réglementation nationale et européenne en matière de protection de la vie privée et des données à caractère personnel (aussi connue sous le nom de RGPD).
Dispositions générales
EASYPAY GROUP attache une grande importance à la protection de la vie privée et des données à caractère personnel. En tant qu’entreprise, EASYPAY GROUP s’efforcera raisonnablement de traiter, avec toute l’attention et la loyauté requises, les données à caractère personnel qui lui ont été confiées par le client. EASYPAY GROUP s’efforcera à cet effet de prendre toutes les mesures de sécurité techniques et organisationnelles appropriées et raisonnables.
Identification des données à caractère personnel
Plusieurs données à caractère personnel sont collectées directement. Il s’agit notamment ici des données d’identification classiques telles que le nom, le prénom et la fonction au sein d'une entreprise, des données de contact telles que le numéro de téléphone, le numéro de fax, l’adresse e mail et des données à des fin de facturation telles que le numéro de compte bancaire. Le cas échéant, ces données seront transmises directement par l’établissement de documents, leur communication par téléphone ou par voie électronique ou la transmission de cartes de visite. Un consentement exprès sera alors présumé pour l’enregistrement des données à caractère personnel fournies.
Plusieurs données à caractère personnel sont également collectées indirectement. Il peut s’agir ici de données publiques qui sont soumises à une obligation de publication (cf. nominations) ou de données qui ont été rendues publiques par la personne concernée (cf. publication sur le site web). Ces données à caractère personnel accessibles publiquement peuvent être enregistrées le cas échéant. Une présomption de consentement s’applique en effet, puisqu’elles ont été rendues publiques expressément.
Aucune catégorie particulière de données à caractère personnel n’est enregistrée sans consentement supplémentaire.
Justification du traitement
Pour pouvoir assurer la qualité de certains services, EASYPAY GROUP a besoin de diverses données à caractère personnel spécifiques, notamment en vue de pouvoir exécuter correctement les prestations prédéfinies, pour satisfaire aux exigences légales, pour la gestion des risques et le contrôle de qualité, ainsi que dans le cadre de la gestion relationnelle et de la gestion des dossiers clients.
EASYPAY GROUP s’engage à ne pas transmettre vos données à caractère personnel à des tiers sans consentement explicite. Vos données à caractère personnel sont conservées au moins pendant les délais de conservation légaux ou, le cas échéant, aussi longtemps que nécessaire pour les finalités prédéfinies.
Droits des personnes concernées
Dans la mesure où l’exige la réponse à des demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits (tels que définis par le RGPD), EASYPAY GROUP s’efforcera, sur demande écrite et lorsque l’intéressé ne dispose pas lui-même de cette possibilité, de fournir toutes les informations écrites nécessaires, pour autant qu’elles soient disponibles, et de procéder à la correction, la mise à jour, l’effacement, le transfert ou la limitation des données à caractère personnel, pour autant que cela soit raisonnablement possible et dans un délai raisonnable, compte tenu des dispositions légales du RGDP. Pour autant que cette prestation de service soit applicable, adéquate et possible, les parties concernées en conviendront les modalités et l’indemnité y afférente, le cas échéant.
Aperçu des mesures techniques et organisationnelles
Vous trouverez ci-dessous une liste non limitative des mesures déjà mises en œuvre et en cours par lesquelles EASYPAY GROUP vise à la protection de la vie privée et des données à caractère personnel.
Sur le plan de l’infrastructure technique
- Système de sécurité logique basé sur un pare-feu, un serveur proxy et un antivirus conformes aux normes industrielles en vigueur
- Application d’une politique concernant les mots de passe (c.-à-d. codes login uniques et mots de passe personnels adaptés régulièrement)
- Sauvegardes sécurisées systématiques à titre de protection contre les pertes de données
- Protection de l’accès physique aux données à caractère personnel pour les personnes qui ne doivent pas y avoir accès du fait de leurs tâches
- Pas d’utilisation de disques durs non sécurisés
- Recours à des techniques de cryptage pour l’enregistrement des données à caractère personnel
- Contrôle de l’accès aux locaux et espaces de travail via une gestion d’accès sécurisée et des systèmes d’alarme
- Sécurité physique des locaux où sont stockés des ordinateurs et serveurs sur lesquels se trouvent des logiciels et données. Les mesures concrètes de sécurité comprennent entre autres les éléments suivants : gestion d’accès sécurisée, système d’alarme, dispositifs de protection contre les pannes de courant et les incendies
- Passage automatique vers un autre serveur sur base de systèmes redondants situés à des endroits (physiquement) différents avec une connectivité Internet distincte. Des tests de basculement sont en outre prévus régulièrement
- Utilisation de techniques de contrôle d’identité sur base d'une double authentification ou utilisation de l’eID
- Mesures destinées à assurer la transmission sécurisée des données à caractère personnel et à éviter que, lors d'un transfert électronique, de leur transport ou de leur stockage sur des supports de données, elles puissent être lues, copiées, modifiées ou effacées par des personnes non autorisées
- Gestion formalisée des versions pour le développement de nouveaux logiciels et l’adaptation des applications logicielles via une planification des versions, une gestion des modifications, un système de tests avec une séparation entre les environnements de développement, d’acceptation et de production
- Établissement d’un registre de traitement des données reprenant toutes les activités de traitement des données à caractère personnel conformément au modèle de registre mis à disposition par l’Autorité de protection des données
- Désignation d'un délégué à la protection des données (DPD) qui veillera à l’application des règles imposées par le RGPD et supervisera celle-ci
Sur le plan organisationnel :
- Politique générale d'information du personnel sur la protection de la vie privée
- Organisation de séances périodiques de formation et de conscientisation pour le personnel au sujet de la gestion des données à caractère personnel
- Mise en place de procédures internes concernant l’entrée en service et la sortie de service de collaborateurs qui gèrent des données à caractère personnel
- Établissement de clauses de confidentialité avec les collaborateurs qui gèrent des données à caractère personnel
- Mise en place d’une politique et de directives internes concernant la gestion confidentielle de données à caractère personnel
- Mise en place de procédures internes en cas d’incidents (fuite de données...)
- Application d’un enregistrement personnel et de systèmes d’identification pour le contrôle d’accès aux bâtiments pour que les personnes non autorisées n’aient pas accès aux locaux de l’entreprise
- Désignation d’un responsable de la sécurité informatique
- Planification et exécution, à intervalles réguliers, d’audits et de contrôles de sécurité internes
- Utilisation d’une politique de rangement du bureau (clean desk) afin de protéger au maximum les données confidentielles des regards de personnes non autorisées
- Utilisation de déchiqueteuses à papier ou d’autres moyens pour détruire les éventuelles données confidentielles
- Application d’une procédure spécifique pour la suppression des données à caractère personnel qui se trouvent sur les supports de stockage et équipements mis au rebut (p. ex. ordinateurs portables et smartphones) et sur les appareils qui sont restitués par les collaborateurs qui quittent l’entreprise
Sur le plan juridique :
- Application d'une procédure de notification des violations de données prévoyant la communication correcte et formalisée (conformément au RGPD) des éventuelles fuites de données aux parties concernées. Les mesures requises sont également prises dans ce cadre pour limiter autant que possible les éventuels dommages
- Intégration, dans les contrats de travail et dans le règlement de travail, notamment de politiques internes destinées à nos propres collaborateurs, au sujet de la confidentialité et de la protection de la vie privée, portant sur les données qui nous sont confiées dans le cadre de notre mission. Ces documents seront en outre ajustés le cas échéant pour satisfaire aux exigences du RGPD
- Établissement d'un contrat de sous-traitance qui répond pleinement aux exigences du RGPD
- Révision de toutes les clauses relatives à la protection de la vie privée, la sécurité et la protection des données à caractère personnel dans les contrats et les autres documents échangés avec des clients
Contactez-nous par e-mail à l’adresse GDPR-INFO@easypay-group.com si vous avez des questions.