ASBL BEPROSUMER

Généralités

La protection de votre vie privée revêt pour nous une importance capitale. Nous souhaitons dans toute la mesure du possible vous informer, respecter vos droits et vous permettre de contrôler ce qu’il advient de vos données personnelles, en conformité avec le Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « Règlement européen »).

La présente politique de protection de la vie privée (ci-après, la « Politique de protection de la vie privée », ou la « Politique ») a dès lors pour objet d’informer toutes les personnes physiques concernées, ci-après dénommées « vous » ou « votre/vos », sur la manière dont l’asbl BeProsumer (ci-après « BP») collecte et utilise de telles données personnelles et sur les moyens dont la personne physique concernée dispose pour contrôler cette utilisation. 

1. Champ d’application de la présente Politique de protection de la vie privée

La présente Politique de protection de la vie privée énonce les principes et lignes directrices pour la protection de vos données personnelles collectées dans le cadre de nos relations commerciales et contractuelles.

La notion de données personnelles désigne toute information relative à une personne physique identifiée ou identifiable. Une personne est « identifiable » dès lors qu’elle peut être identifiée, directement ou indirectement, en particulier par référence à un ou plusieurs éléments qui lui sont propres.

Pour éviter tout malentendu, la présente Politique de protection de la vie privée n’est d’application que dans le cadre de nos relations avec des personnes physiques. Dans le cas des personnes morales, la présente Politique de protection de la vie privée est uniquement valable pour les données personnelles relatives aux personnes physiques qui représentent ou agissent en qualité de représentant du client personne morale (comme les mandataires, préposés ou toute autre personne de contact).

Par opposition, les « Données non-personnelles » correspondent à des informations ne permettant pas d’identifier une personne physique.

1. Qui est responsable de vos données

Le responsable de traitement de vos données est l’asbl BeProsumer, dont le siège est établi à 5380 Fernelmont, Rue Delbrouck, Hing 10, enregistrée à la Banque Carrefour des Entreprises sous le numéro 0527.987.826 (ci-après « BP », « L’Association » ou « nous »).

1. Qui est protégé par cette politique de protection de la vie privée ?

Cette Politique de protection de la vie privée s’applique uniquement aux données personnelles que nous traitons en tant que responsable du traitement.

Cette politique s’applique au traitement des données personnelles des prestataires de services ou fournisseurs de produits ayant conclu un contrat avec BP.

1. Qu’entendons-nous par « traitement de données personnelles » ?

Par « traitement de données personnelles », nous entendons tout traitement de données qui peuvent vous identifier en tant que personne physique.

La notion de « traitement » est vaste et couvre entre autres la collecte, l’enregistrement, l’organisation, la conservation, l’actualisation, la modification, la demande, la consultation, l’utilisation, la diffusion ou toute autre forme de mise à disposition, le rapprochement, la combinaison, l’archivage, l’effacement ou la destruction définitive de ces données.

Si, en tant que cocontractant de BP, vous autorisez des tiers à traiter les données personnelles transférées, directement ou indirectement par BP, collectées en raison de l’exécution du contrat conclu, vous avez les responsabilités suivantes :

• vous devez vous informer auprès de nous à propos du niveau de protection de nos services et prendre les mesures techniques et organisationnelles que vous estimez appropriées pour protéger les données personnelles de manière adéquate contre un traitement non autorisé ou illégitime et contre une destruction illégitime ou involontaire, une perte involontaire, une falsification, une diffusion non autorisée, l’endommagement, la modification, l’accès ou la publication non autorisé(e) ;

• vous devez prendre toutes les mesures raisonnables pour assurer la fiabilité des personnes qui ont accès aux données personnelles.

Vous ne pouvez rien faire, provoquer ou autoriser qui, d’une manière quelconque, pourrait entraîner une violation de la présente politique de protection de la vie privée.

1. Quelles données à caractère personnel pouvons-nous traiter ?

1. 1. Les données personnelles que vous partagez avec nous

Nous traitons les données personnelles que vous nous transmettez. Cela peut se faire par téléphone, par écrit, par e-mail ou via le formulaire de contact disponible sur notre site internet.

1. 1. Les données personnelles recueillies par nos systèmes

Nous vous attribuons des données personnelles afin de vous intégrer dans notre base de données fournisseur/prestataires (par exemple, un nom et prénom, une adresse e-mail, une adresse IP, un numéro de téléphone, un numéro de fournisseur/prestataire).

1. 1. Les données personnelles que nous obtenons de tiers

Nous collectons également des données via les interactions avec des tierces sociétés ou sur via internet (données rendues publiques) en vue de sélectionner nos fournisseurs/prestataires, d’établir ou compléter votre fiche fournisseur/prestataire et de gérer notre comptabilité.

1. 1. Catégories de données à caractère personnel

Nous collectons et traitons uniquement les données nécessaires à l’exécution de la relation contractuelle convenue à la gestion de notre comptabilité ou conformément à des dispositions légales auxquelles nous sommes tenues.

1. Quelles sont les finalités de traitement des données personnelles ?

BP traite les données personnelles en vue de satisfaire les finalités suivantes :

• Le recrutement et sélection ;
• Le suivi de la relation contractuel ;
• Le traitement de la facturation ;
• L’évaluation ou la constatation d’un manquement ;

1. A quelles fins utilisons-nous ces données personnelles ?

BP traite les données à caractère personnel à diverses fins ; dans ce cadre, nous traitons à chaque fois uniquement les données qui sont indispensables pour atteindre l’objectif visé.

Ainsi, nous utilisons les données personnelles quand c’est nécessaire :

• dans le cadre de la préparation, de l’exécution ou de la cessation de notre contrat ;
• pour satisfaire aux dispositions légales ou réglementaires auxquelles nous sommes soumis ;

et/ou

• pour défendre nos intérêts légitimes, auquel cas nous veillons toujours à préserver un équilibre entre ces intérêts et le respect de votre vie privée ;
• afin de suivre nos performances et évolutions d’activités.

1. Sur quelle base juridique collectons et traitons-nous vos données personnelles ?

Les données personnelles sont collectées avec votre consentement ainsi qu’en raison de l’exécution de la relation contractuelle que nous lie avec vous, ou, le cas échéant, sur base de l’accord donné par toute personne ayant rempli un ou plusieurs formulaires figurant sur le site internet.

Les données sont également collectées en raison de différentes obligations légales.

Lorsque ledit traitement n’est pas nécessaire à cette exécution contractuelle, celui-ci est alors basé sur les intérêts légitimes de l’Association en tant que professionnel, notamment celui d’information et de suivi de vos dossiers, gestion et prévention de fraude, assurer une efficacité pour exécuter nos contrats, fournir nos services et se conformer à nos obligations légales, identifier les moyens nous permettant d’améliorer les services à nos membres, protéger les intérêts commerciaux, financiers et économiques de l’Association.

1. Processus décisionnel automatisé

BP ne prend pas de décisions automatisées – sur la base de l’établissement d’un profil ou non – susceptibles d’avoir des conséquences juridiques pour vous ou qui vous touchent de manière considérable, sauf :

• si c’est indispensable pour la conclusion ou l’exécution de votre contrat (par exemple, le contrôle de la solvabilité ou de conformité à certaines prescriptions d’ordre technique et/ou organisationnelle);
• si c’est autorisé par la loi (par exemple, pour la détection d’une fraude fiscale) ;

ou

• si nous avons obtenu votre autorisation expresse à ce propos.

Dans ces hypothèse, vous serez informé au préalable de la réalisation de la décision automatisée, de votre droit d’exiger une intervention humaine et de la manière dont vous pouvez contester la décision.

1. Comment protégeons-nous vos données personnelles ?

1. 1. 10.1.Nos mesures techniques et organisationnelles

Nous faisons tout pour protéger vos données à caractère personnel et votre confidentialité.

Nos collaborateurs ont été formés pour gérer correctement les données confidentielles. Dans le cadre de chaque projet visant un traitement des données personnelles, nous effectuons d’abord une évaluation de la sécurité et de la protection des données personnelles, en préservant vos intérêts avant tout.

Pour la protection de vos données, une personne dédiée contrôle le respect de la législation et de nos aspirations éthiques, comme exposé dans la présente politique de protection de la vie privée. En outre, nous appliquons différentes mesures techniques pour protéger vos données personnelles contre l’accès et l’utilisation illicites, la perte ou le vol, à savoir : protection par mot de passe, logiciel de cryptage de disque dur, pare-feu, antivirus, détection des intrusions et des anomalies et contrôles d’accès pour nos collaborateurs. En cas de fuite de données avec des conséquences néfastes pour vos données à caractère personnel, vous êtes personnellement averti en tant qu’employé dans les circonstances prévues par la loi.

Les logiciels de gestion et de stockage de données sont continuellement mis à jour.

Le nombre de collaborateurs de notre Association ayant accès à vos informations personnelles est limité et nos collaborateurs sont sélectionnés avec soin. Ils ont uniquement accès à vos données personnelles dans la mesure où ils ont besoin de ces informations pour exécuter correctement leurs tâches.

1. 1. 10.2.Où sont stockées vos données

Vos données personnelles sont stockées dans des serveurs informatiques localisés en Belgique.

1. Combien de temps vos données sont-elles conservées

Nous ne pouvons pas conserver vos données à caractère personnel au-delà du temps nécessaire à la réalisation de l’objectif pour lequel nous les collectons.

Les données personnelles sont conservées aussi longtemps que nécessaire :

1. • pour le bon déroulement du processus de recrutement et de sélection ;
   • pour l’exécution du contrat conclu ;
   • aussi longtemps que nécessaire pour supprimer les données après l’expiration des délais de conservation prévus par la loi ;
   • aussi longtemps que nécessaire pour supprimer les données après l’expiration des délais de prescription prévus par la loi ;
   • aussi longtemps que nécessaire pour remplir les obligations découlant d’un texte de loi, d’une autre réglementation ou d’une convention ;
   • aussi longtemps que nécessaire pour satisfaire à un contrôle d’une administration publique (par exemple en cas de contrôle fiscal ou ONSS) :
   • pour assurer une défense en justice.

À l’issue des délais de conservation applicables, les données à caractère personnel sont supprimées ou rendues anonymes.

Certaines données d’anciens fournisseurs et prestataires peuvent être utilisées pendant une période de 2 ans après la résiliation du contrat pour reconnaître ledit fournisseur et prestataire.

1. Vendons-nous vos données à des tierces parties ou transmettons-nous vos données ?

1. 1. 12.1.Transferts de données

Nous ne vendons aucune donnée personnelle à des tiers. Nous ne les transférons pas non plus à des tiers, sauf (si) :

• cela est nécessaire pour l’exécution du contrat ou découle de son exécution

1. • à des entreprises liées à BP et/ou fournisseur/prestataire ;
   • à des autorités publiques ou judiciaires ;
   • à un huissier de justice ou à des auxiliaires de justice ;
   • à un avocat ;
   • à un assureur.

• il y a une obligation légale. 

• il y a un intérêt légitime pour BP ou le tiers concerné.

Nous transmettrons uniquement vos données personnelles si votre intérêt ou vos droits et libertés fondamentaux ne prévalent pas et vous en serez toujours informé en toute transparence (sauf dans le cas des exceptions légales). Ainsi, vos données personnelles peuvent par exemple être transmises aux contrôleurs de crédit, aux bureaux de recouvrement et aux prestataires de services juridiques, ainsi qu’aux partenaires avec qui nous collaborons dans le cadre d’une action spécifique.

• Vous nous donnez votre autorisation.

Si BP fournit des données personnelles à des tiers dans d’autres situations, cela se fait toujours au moyen d’une notification explicite, en donnant une explication sur le tiers, les fins de la communication et du traitement. Si c’est requis par la loi, nous vous demandons votre autorisation explicite.

1. 1. 12.2.Traitement international de vos données personnelles

Dans la mesure où les données à caractère personnel sont traitées en dehors de l’Union européenne, nous nous assurons par des mesures contractuelles ou autres que ces données y bénéficient d’un niveau de protection approprié, comparable à la protection dont elles bénéficieraient dans l’Union européenne conformément à la réglementation européenne.

1. Mesures de sécurités en cas de sous-traitance

Lorsqu’un traitement doit être effectué pour son compte, BP fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences de la présente politique et garantisse la protection de vos droits.

Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou

générale, de BP. Dans le cas d’une autorisation écrite générale, le sous-traitant informe BP de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi à BP la possibilité d’émettre des objections à l’encontre de ces changements.

Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit

de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard de BP , définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits de BP.

Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

a) ne traite les données à caractère personnel que sur instruction documentée de BP, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe BP de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;

b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;

c) prend toutes les mesures requises en vertu de la sécurité du traitement;

d) respecte les conditions visées aux paragraphes précédents pour recruter un autre sous-traitant;

e) tient compte de la nature du traitement par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, et s’acquitte de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits;

f) aide BP à garantir le respect des obligations prévues, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;

g) selon le choix de BP, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel; et ,

h) met à la disposition de BP toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par BP ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

A cet effet, le sous-traitant informe immédiatement par écrit BP si, selon lui, une instruction constitue une violation de la présente Politique ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

Lorsqu’un sous-traitant de BP recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte de BP, les mêmes obligations en matière de protection de données que celles annexées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la présente Politique.

Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable.

1. Vos obligations en qualité de sous-traitant

En votre qualité de sous-traitant de BP, vous êtes strictement tenus de vous conformer aux obligations suivantes :

a) vous ne pouvez traiter les données à caractère personnel que nous vous transmettons que sur nos instructions documentées, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins que vous ne soyez tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel vous êtes soumis; dans ce cas, vous nous informez de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;

b) vous devez veiller à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;

c) vous devez prendre toutes les mesures requises en vertu de la sécurité du traitement;

d) vous devez respecter les conditions visées aux paragraphes précédents pour recruter un autre sous-traitant;

e) vous devez tenir compte de la nature du traitement, nous aider, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à nous acquitter de notre obligation de donner suite aux demandes dont les personnes concernées nous saisissent en vue d’exercer leurs droits;

f) vous devez nous aider à garantir le respect des obligations prévues, compte tenu de la nature du traitement et des informations mise à votre disposition;

g) à notre première demande, supprimer toutes les données à caractère personnel ou nous les renvoyer au terme du contrat, et détruire toutes les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre dans lequel vous êtes établi n’exige la conservation des données à caractère personnel; et ,

h) mettre à notre disposition toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par nous ou un autre auditeur que nous aurions mandaté, et contribuer à ces audits.

A cet effet, vous devez nous informer immédiatement par écrit si, selon vous, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

Lorsqu’un vous recrutez un sous-traitant pour mener des activités de traitement spécifiques pour notre compte, les mêmes obligations en matière de protection de données que celles reprises ci-avant doivent apparaître dans le contrat ou un autre acte juridique conclu avec cet autre sous-traitant, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la présente Politique.

Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable.

1. Quels sont vos droits en matière de confidentialité et comment pouvez-vous les exercer ?

1. 1. 15.1.Aperçu de vos droits

1. 1. En pratique

• Comment puis-je exercer mes droits en matière de confidentialité ? 

Vous pouvez nous adresser un mail à l’adresse suivante secretariat@touche-pas-a-mes-certificats-verts.be.

Afin d’exercer votre droit d’accès et pour éviter toute publication illicite de vos données à caractère personnel, nous devons vérifier votre identité. En cas de doute ou d’imprécision, nous vous demanderons d’abord des informations complémentaires (de préférence une copie du recto de votre carte d’identité).

• Y a-t-il des frais ? 

Vous pouvez exercer gratuitement vos droits en matière de confidentialité, sauf si votre demande est manifestement infondée ou exagérée, notamment en raison de son caractère répétitif. Dans ce cas, nous avons le droit et le choix – conformément à la législation relative à la protection de la vie privée – (i) de vous facturer une indemnité raisonnable (tenant compte des frais administratifs liés à la fourniture de l’information ou de la communication demandée et des frais liés à la prise des mesures demandées), ou (ii) de refuser de donner suite à votre demande.

• Sous quel format vais-je recevoir une réponse ? 

Si vous introduisez votre demande par voie électronique, les informations sont si possible transmises par voie électronique, sauf si votre demande stipule autre chose. En tout cas, nous vous transmettons une réponse concise, transparente, compréhensible et aisément accessible.

• Quand vais-je recevoir une réponse ? 

Nous réagissons dans les plus brefs délais à votre demande, et en tout cas dans le mois suivant la réception de votre demande. En fonction de la complexité des demandes et de leur nombre, ce délai peut le cas échéant être prolongé de deux mois. En cas de prolongation du délai, nous vous en informons dans le mois suivant la réception de la demande.

• Que puis-je faire si Le Cabinet ne donne pas suite à ma demande ? 

Nous vous informerons toujours, dans notre réponse, à propos de la possibilité d’introduire une plainte auprès de l’autorité de surveillance et de faire appel devant le juge compétent.

1. Poser des questions au Cabinet

Pour plus d’informations sur la présente politique de protection de la vie privée ou pour toute réclamation concernant le traitement de vos données à caractère personnel, vous pouvez prendre contact avec l’Association via secretariat@touche-pas-a-mes-certificats-verts.be.

1. Restez informé des adaptations.

BP peut modifier de temps à autre la présente politique de protection de la vie privée, par exemple dans le cadre des évolutions du marché et de nouvelles activités de traitement de BP. Nous vous invitons dès lors à toujours consulter la dernière version de la présente politique sur notre site internet. Il va sans dire que nous vous informerons au préalable via notre site internet ou d’autres canaux de communication courants de toute modification du contenu et, lorsque la loi le requiert, nous vous demanderons votre autorisation préalable concernant nos (nouvelles) activités de traitement.

En cas de conflit, nos conditions générales et les conditions particulières applicables aux produits et services de BP prévalent sur la présente politique de protection de la vie privée.

1. Autorité de surveillance.

Pour les plaintes relatives au traitement de vos données à caractère personnel par BP, vous pouvez vous adresser à l’Autorité de protection des données, rue de la Presse 35, 1000 Bruxelles / +32 (0)2 274 48 00 / contact@apd-gba.be / www.autoriteprotectiondonnees.be.