Politique de confidentialité

Politique de protection des données de VPF consulting -VPF consulting
Version 0.1 – Mise à jour le 06/12/2024.

1 Qu’est-ce que la protection des données ?

La protection des données à caractère personnel est assurée en Europe par le Règlement général sur la protection des données (RGPD) du 27 avril 2016 est un règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, applicable depuis le 25 mai 2018.
Son objectif est d’assurer la protection des données à caractère personnel des citoyens européens : salariés, candidats à un emploi, assurés, patients, clients, prestataires, fournisseurs, partenaires commerciaux, etc, appelées personnes concernées.

2 Qui est concerné par le RGPD ?

Tout organisme quel que soit sa taille, son pays d’implantation et son activité, peut être concerné.
En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

• qu’elle est établie sur le territoire de l’Union européenne,
• ou que son activité cible directement des résidents européens.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Ainsi, lorsqu’une organisation traite ou collecte des données pour le compte ou à destination d’une autre entité (entreprise, collectivité, association, administration), des obligations spécifiques pour garantir la protection des données confiées s’impose.

3 Contexte et objectifs de cette politique

Dans le cadre de ses activités, VPF consulting – (VPF consulting) traite des données à caractère personnel.

La présente politique poursuit un double objectif :

• D’une part, expliquer les grands principes à respecter lors de tout traitement de données ;
• D’autre part, fournir aux clients les informations relatives au traitement de leurs données dans le cadre de leurs relations avec VPF consulting.

La présente politique de confidentialité régit la façon dont VPF consulting en tant que responsable de traitement traite les données personnelles collectées (i) dans le cadre du site internet VPF consulting (le « Site VPF consulting ») ou lors d’échanges entre VPF consulting et toute personne qui n’est pas un client de VPF consulting et (ii) dans le cadre de la réalisation, par VPF consulting, de son activité.

VPF consulting s’engage à fournir une information, une formation et une assistance adéquates à ses employés, sous-traitants et mandataires pour leur permettre de remplir leurs obligations en matière de protection des données à caractère personnel vis-à-vis des données personnelles qu’ils traitent dans le cadre de leurs activités.

La présente politique complète, mais ne remplace pas, les obligations relatives à la protection des données personnelles déjà reprises dans les contrats de mission et autres éventuels documents.

4 Définitions

Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable.

Une personne peut être identifiée :

• directement (exemple : nom, prénom)
• ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

• à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)
• à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)

Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Responsable de traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Consentement : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.
Violation de données à caractère personnel : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

5 Principes de traitement des données à caractère personnel

5.1 Le principe général : la libre circulation des données à caractère personnel

Le traitement de données à caractère personnel n’est en principe pas interdit dans le droit de l’Union Européenne. Néanmoins, les données sensibles (entre autres les données de santé, les données relatives à l’appartenance syndicale, les données relatives à l’origine raciale ou ethnique, l’orientation sexuelle) ne peuvent pas faire l’objet d’un traitement. Ce principe souffre néanmoins quelques exceptions :

• Lorsque Le consentement donné par la personne concernée ;
• En application d’obligations en matière de droit du travail, du droit de la sécurité sociale, de la protection sociale ;
• Lorsque la sauvegarde d’intérêts vitaux est en jeu ;
• Lorsque le traitement s’opère dans le cadre d’activités de fondations, associations à but non lucratif, ou tout autre organisme à but non lucratif, …
• Lorsque les données ont été rendues publiques par la personne concernée ;
• Lorsque le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ;
• Le traitement est nécessaire pour des motifs d’intérêt public important ;
• Le traitement est nécessaire aux fins de médecine préventive ou de médecine du travail ;
• Le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ;
• Le traitement est nécessaire à des fins archivistiques dans l’intérêt public.

5.2 Licéité du traitement

Les données à caractère personnel sont traitées par VPF consulting de manière licite, loyale au regard de la personne concernée.

La collecte de données personnelles est ainsi toujours basée sur un (ou plusieurs) des six motifs légitimes suivants, consacrés par le RGPD :

Exécution d’un contrat : le recours à cette base légale suppose que le traitement soit objectivement nécessaire à l’exécution d’un contrat entre l’organisme traitant les données et la personne concernée.

Respect d’une obligation légale : le recours à cette base légale se justifie lorsque la mise en œuvre d’un traitement est imposée à un organisme par des textes européens ou nationaux.
Sauvegarde des intérêts vitaux de la personne physique : par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d’urgence humanitaire, notamment les situations de catastrophe naturelle et d’origine humaine.

Exécution d’une mission d’intérêt public : cette base légale concerne donc en premier lieu les traitements mis en œuvre par les autorités publiques. La mission d’intérêt public ou relevant de l’exercice de l’autorité publique ne peut pas être présumée par l’organisme qui met en œuvre le traitement de données : pour valablement fonder ce traitement, cette mission doit avoir une base juridique dans le droit auquel l’organisme est soumis.

Intérêt légitime : le recours à cette base légale suppose que les intérêts (commerciaux, de sécurité des biens, etc.) poursuivis par l’organisme traitant les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.

Consentement : le consentement représente l’accord de la personne concernée à ce que ses données soient collectées et utilisées. Le consentement n’est pas nécessairement un contrat.

5.3 Loyauté et transparence

Le principe de loyauté implique que VPF consulting se doit de traiter les données personnelles honnêtement. Les données ne peuvent être traitées ultérieurement d’une manière incompatible avec la finalité initiale.

De ce principe découle le principe de transparence ; la collecte des données doit être assortie d’informations claires et précises quant au traitement envisagé.

C’est dans ce cadre que le VPF consulting opère cette information au profit de ses co-contractants, prospects et toute autre personne entrant en contact avec VPF consulting quel que soit l’objectif.

5.4 Limitation des finalités

Les données à caractère personnel sont collectées par VPF consulting pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement d’une manière incompatible avec ces finalités.

5.5 Minimisation des données

VPF consulting ne collecte pas plus de données à caractère personnel que nécessaire pour atteindre les finalités déterminées, c’est-à-dire que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

5.6 Exactitude des données

VPF consulting prend toutes les mesures raisonnables afin que les données à caractère personnel qui sont inexactes soient effacées ou rectifiées sans tarder.

5.7 Limitation de la conservation

Les données à caractère personnel sont conservées par VPF consulting pendant une durée n’excédant pas celle nécessaire au traitement concerné.
Par exemple dès que le contrat est résilié, la prescription acquise, le consentement retiré, …
Au-delà les données seront être détruites ou anonymisées.

5.8 Intégrité et confidentialité

Les données à caractère personnel sont traitées par VPF consulting de façon à garantir une protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle et ce, à l’aide de mesures techniques ou organisationnelles appropriées. Les co-contractants sont tenus de respecter l’intégrité et la confidentialité des données.

5.9 Responsabilité

VPF consulting veille à documenter ses traitements et les précautions qu’il met en œuvre au regard de la protection des données à caractère personnel, afin d’être en mesure de démontrer qu’il a respecté les principes exposés ci-dessus et que ces sous-traitants ou destinataires éventuels se conforment également à ces règles.

6 Délégué à la Protection des Données (DPD)

PF consulting n’a aucune obligation légale de nommer un DPD, néanmoins, le responsable de traitement dont les coordonnées sont les suivantes, assure les fonctions d’un DPD :

A l’attention du chargé de la protection des données

Courriel : virginieparre@vpf.consulting.

Cette personne est compétente pour :

• Contrôler le respect de la législation et de la réglementation et des règles internes en matière de protection des données, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation des employés ;
• Coopérer avec l’autorité de contrôle (CNPD),

7 Concernant les traitements des données personnelles des clients

7.1 Etablissement des devis, time sheets et factures

7.2 Rédaction et délivrance des livrables

7.3 Traitements comptabilité clients et fournisseurs

7.4 Traitement des messages quel que soit le moyen utilisé

7.5 Gestion du site web et des cookies

8 Sécurité et confidentialité

VPF consulting a adopté un certain nombre de mesures techniques et organisationnelles nécessaires/adéquates pour protéger les données à caractère personnel contre l’accès non autorisé, le traitement illicite, la perte ou les dommages accidentels, et la destruction non autorisée :

Les personnes agissant pour le compte de VPF consulting sont soit des professionnels de la sécurité et/soit des professionnels de la protection des données ; ils sont à ce titre en mesures d’appliquer des mesures organisationnelles et de mettre en œuvre les mesures techniques nécessaires

9 Droits des personnes concernées

Pour exercer leurs droits, les clients doivent contacter le DPD.
Les droits en question sont les suivants :

• Information
  VPF consulting informe ses clients par le biais de la présente Politique ou de déclarations/clauses de confidentialité.
• Accès et rectification
  Les clients disposent du droit d’accéder à leurs données et de les faire rectifier dans la limite des conditions légales.
• Opposition
  Les clients peuvent s’opposer au traitement de leurs données dans la limite des conditions légales.
• Retrait du consentement
  Lorsque les données sont traitées en vertu d’un consentement, les clients peuvent à tout moment revenir sur cette décision, sans remettre en cause le traitement passé.
• Effacement
  Les clients peuvent obtenir l’effacement de leurs données ou la limitation du traitement dans les conditions légales.
• Portabilité
  Les clients peuvent obtenir la communication des données qu’ils ont fournis sous format électronique ou leur transmission à un tiers dans les conditions prévues à l’article 20 du règlement général sur la protection des données.
• Limitation :
  Si les clients contestent l’exactitude des données utilisées par VPF consulting ou s’opposent au traitement de leurs données, la loi autorise VPF consulting à procéder à une vérification ou à examen de la demande pendant un certain délai. Pendant ce délai, les clients peuvent demander à VPF consulting de geler l’utilisation des données. Concrètement, VPF consulting ne devra plus utiliser les données mais devra les conserver.
• Plainte auprès de l’Autorité de Protection des Données
  Les agents qui ont des réclamations quant au traitement de leurs données à caractère personnel peuvent déposer plainte auprès de la Commission nationale pour la protection des données (CNPD) via le site www.cnpd.lu. VPF consulting s’engage à fournir aux clients, des informations sur les mesures prises à la suite de l’exercice de l’un de ces droits dans les meilleurs délais, et en tout état de cause, conformément à la réglementation applicable en la matière, dans un délai d’un mois à compter de la réception de la demande.

10 Rôle et responsabilités

Chaque personne au sein de VPF consulting ainsi que les sous-traitants, mandataires qui traitent des données à caractère personnel doit s’assurer qu’elles sont traitées en accord avec les règles et principes sur les données personnelles énoncées dans le cadre de la présente politique. VPF consulting sera tenue responsable de quelque manquement au RGPD que ce soit.