1. Introduction

Dans le cadre de l’exercice de ses activités, PaceBlade traite différentes données, tant des données commerciales que des données à caractère personnel. La présente politique concerne le traitement des données à caractère personnel par PaceBlade. Les données personnelles de différentes catégories de personnes identifiables, telles que les employés, les clients et fournisseurs, les utilisateurs du site web, les abonnés et d’autres parties prenantes, sont susceptibles d’être traitées.

PaceBlade est consciente de l’importance de la protection des données à caractère personnel et des préoccupations de ses employés, des clients et de leurs personnes de contact, des fournisseurs et de leurs personnes de contact, ainsi que d'autres personnes avec lesquelles elle est en relation, en ce qui concerne le traitement de leurs données personnelles. PaceBlade prend systématiquement en considération la protection des données personnelles lors de chaque opération de traitement.

Différentes personnes au sein de l’organisation peuvent avoir accès aux données à caractère personnel de ses employés (le terme employés comprend : les dirigeants et toute personne travaillant pour PaceBlade, y compris les prestataires de services indépendants et consultants, les travailleurs temporaires tels que les intérimaires, les stagiaires, les étudiants, les bénévoles, les anciens employés) et d’autres personnes (clients et fournisseurs) dans le cadre de leur fonction. Chacune de ces personnes est liée par la présente politique de protection des données à caractère personnel.

La législation applicable en matière de protection des données impose à PaceBlade certaines obligations quant aux modalités de traitement des données. Par ailleurs, cette législation accorde des droits aux personnes concernées, leur permettant de mieux contrôler leurs données personnelles.

La présente politique donne un aperçu des obligations générales prévues par la législation sur la protection des données, auxquelles l’entreprise et ses collaborateurs doivent se conformer. Le respect de cette politique est essentiel pour les raisons suivantes :

la conformité à la législation sur la protection des données constitue une obligation légale, et son non-respect peut entraîner des responsabilités, sanctions et amendes ; elle permet un traitement des données personnelles plus satisfaisant et plus efficace ; elle constitue enfin la base d’une relation de confiance entre PaceBlade et ses partenaires commerciaux, ses consommateurs et ses employés.

2. Champ d’application

La présente politique s’applique à PaceBlade dans le cadre du traitement de données à caractère personnel et contient les lignes directrices auxquelles chaque opération de traitement doit se conformer. Ce traitement s’effectue soit entièrement, soit partiellement par des procédés automatisés, et s’inscrit dans un système de classement structuré ou est destiné à en faire partie.

3. Délégué à la protection des données¹ / Personne de contact pour la protection des données à caractère personnel

L’entreprise a désigné un Délégué à la protection des données (DPO) chargé de veiller à la mise en œuvre et au respect de la législation en matière de protection des données ainsi que de la présente politique. ​

Le DPO peut être contacté par e-mail à l’adresse suivante :​ privacy@PaceBlade.eu ou par téléphone au +32 10 39 49 32. Pour exercer vos droits, veuillez vous référer à l’article 8 de la présente politique.

4. Définitions

La législation applicable en matière de protection des données utilise un langage spécifique et fait référence à des notions abstraites. Vous trouverez ci-dessous plusieurs définitions destinées à faciliter la compréhension de cette terminologie, et, par extension, de la présente politique.

Législation sur la protection des données

Différentes législations peuvent s’appliquer selon le contexte spécifique dans lequel des données à caractère personnel sont traitées.

Les principes de base et les obligations sont indiqués dans le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Ce règlement est également connu sous le nom de Règlement Général sur la Protection des Données (RGPD). La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques s’applique dans des cas spécifiques (par exemple, le traitement des données de localisation ; l’utilisation de cookies).

Outre la réglementation européenne, des législations nationales spécifiques en matière de protection des données sont également d’application, telles que la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel et la loi du 13 juin 2005 relative aux communications électroniques.

Données à caractère personnel

Les données à caractère personnel concernent toute information relative à une personne physique identifiée ou identifiable, également appelée la personne concernée. Une personne est considérée comme identifiable lorsqu’elle peut être identifiée directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Responsable du traitement

Le responsable du traitement est une personne physique ou morale (par exemple, une entreprise), une autorité publique, un service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel.

Par exemple, PaceBlade est une personne morale qui est le responsable du traitement des données personnelles de ses employés dans le cadre de la gestion du personnel.

Sous-traitant

Le sous-traitant est une personne physique ou morale, une autorité publique, un service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement et uniquement sur instruction de celui-ci.

Traitement de données à caractère personnel

Le traitement de données à caractère personnel signifie toute opération ou ensemble d’opérations effectuées, ou non, à l’aide de procédés automatisés (par exemple via un logiciel), et appliquées à des données à caractère personnel ou à des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Un exemple de traitement de données à caractère personnel est l’enregistrement et la sauvegarde des coordonnées des personnes de contact des clients dans un logiciel CRM (Customer Relationship Management) ou dans un système de classement papier.

Système de classement

Un système de classement désigne tout ensemble structuré de données à caractère personnel accessibles selon des critères spécifiques, qu’il soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Cela implique aussi bien les systèmes de classement structurés de manière électronique via un logiciel ou des applications cloud, que les classements papier, à condition que ces derniers soient organisés et structurés logiquement, permettant une liaison aux personnes concernées ou permettant d’établir un lien sur base de certains critères.

Principes applicables à la collecte et au traitement des données à caractère personnel

En plus d’un vocabulaire spécifique, la législation sur la protection des données repose sur plusieurs principes de base que tout responsable du traitement doit respecter pour se conformer à la loi. En cas de doute sur l’application concrète de ces principes, vous pouvez toujours contacter le DPO (délégué à la protection des données), selon la procédure décrite à l’article 8.

La législation prévoit que les données personnelles doivent être traitées conformément à plusieurs principes fondamentaux, ainsi qu’aux conditions qui en découlent.

Licéité

La législation exige que les données à caractère personnel soient traitées de manière licite, loyale et transparente vis-à-vis de la personne concernée.

Pour que le traitement soit licite, il doit reposer sur une base légale. En principe, les données personnelles ne peuvent être traitées que si :

• La personne concernée a donné son consentement. PaceBlade informera la personne concernée, au plus tard avant la collecte des données, de la finalité du traitement, des données concernées, du droit de retirer son consentement, des éventuelles conséquences (notamment en matière de décisions automatisées ou de profilage), et d’éventuels transferts vers des pays tiers.
• Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, ou pour prendre des mesures précontractuelles à la demande de cette personne.
• Le traitement est nécessaire au respect d’une obligation légale incombant à l’organisation.
• Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
• Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
• Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par l’organisation ou par un tiers, sauf si ces intérêts sont supplantés par les droits et libertés fondamentaux de la personne concernée.

Si vous avez donné votre consentement à l’organisation pour un traitement spécifique, vous pouvez le retirer à tout moment. L’organisation cessera alors ce traitement et vous informera des éventuelles conséquences de ce retrait. Si l’organisation traite vos données sur d’autres bases légales, ces traitements pourront se poursuivre.

L’organisation veillera toujours à fonder le traitement sur au moins une des bases légales susmentionnées. Pour toute question sur la base juridique appliquée, vous pouvez contacter le DPO, conformément à l’article 8.

Certaines données sont dites sensibles et bénéficient d’un régime particulier. Il s’agit, par exemple, des données concernant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques utilisées pour identifier une personne, les données relatives à la santé, à la vie sexuelle ou à l’orientation sexuelle. Les données relatives aux infractions pénales ou condamnations sont également considérées comme des données particulières.

En principe, le traitement de ces données est interdit, sauf exceptions prévues par la loi. Dans certains cas limités, l’organisation peut être tenue de les traiter. Dans ce cas, la personne concernée sera informée au préalable, avec des précisions sur les finalités et la base juridique du traitement. Pour plus d’informations à ce sujet, vous pouvez contacter le DPO via la procédure de l’article 8.

Loyauté

PaceBlade veille à ce que les données personnelles soient :

• Collectées pour des finalités déterminées, explicites et légitimes, et ne soient pas traitées ultérieurement de manière incompatible avec ces finalités. Ces objectifs sont toujours communiqués clairement avant le traitement.
• Limitées à ce qui est nécessaire. Dans la mesure du possible, PaceBlade anonymise ou pseudonymise les données pour réduire l’impact sur la personne concernée. Cela signifie que le nom ou l’identifiant est remplacé pour rendre l’identification difficile, voire impossible.
• Conservées uniquement pour la durée nécessaire à la finalité du traitement.
• Exactes et mises à jour si nécessaire. PaceBlade prendra toutes les mesures raisonnables pour supprimer ou mettre à jour les données incorrectes ou obsolètes.

Transparence

PaceBlade traite généralement des données personnelles obtenues directement auprès de la personne concernée. Dans tous les cas, l’organisation informera la personne concernée des éléments suivants :

• L’identité et les coordonnées du responsable du traitement ;
• Les coordonnées du DPO, si nommé ;
• Les finalités du traitement et sa base légale ;
• Si le traitement repose sur un intérêt légitime, une explication de cet intérêt ;
• Les catégories de destinataires des données ;
• Tout transfert de données hors UE ou vers des organisations internationales (et sur quelle base) ;
• La durée de conservation des données ou les critères de détermination de cette durée ;
• Les droits de la personne concernée (y compris le droit de retirer son consentement) ;
• Le droit d’introduire une plainte auprès de l’autorité de protection des données ;
• L’existence éventuelle d’une obligation légale ou contractuelle de fournir les données ;
• La logique des décisions automatisées et les éventuelles conséquences juridiques ou significatives. ​
• Si les données sont obtenues auprès d’un tiers, PaceBlade informera la personne concernée des catégories de données reçues et de l’identité du tiers.

Lorsque la personne concernée possède déjà toutes ces informations, l’organisation ne les lui répétera pas inutilement.

Si PaceBlade souhaite traiter des données pour une finalité différente de celle annoncée initialement (et que cette finalité n’était pas raisonnablement prévisible), elle prendra les mesures nécessaires pour que ce traitement soit conforme à la loi, et informera la personne concernée.

Les informations seront communiquées de façon claire et compréhensible, que ce soit de manière collective ou individuelle.

Des législations spécifiques peuvent prévoir des exceptions ou des obligations supplémentaires. Ces dispositions prévalent sur cette politique.

Confidentialité et intégrité

PaceBlade met en œuvre les mesures techniques et organisationnelles nécessaires pour garantir que le traitement des données se fasse avec les garanties appropriées, protégeant les données contre la perte accidentelle, l’accès non autorisé, la destruction ou la modification illicite. Le choix des mesures de sécurité prend en compte la nature, le contexte, les finalités, l’ampleur du traitement, les risques, les coûts et l’état de la technique.

Ces mesures couvrent tant l’accès physique que l’accès numérique aux données (ordinateurs, serveurs, logiciels, bases de données…). Les employés ayant accès aux données dans le cadre de leurs fonctions sont également soumis à des obligations spécifiques, décrites à l’article 9.

PaceBlade organise des formations pour ses employés amenés à traiter des données personnelles. Ceux-ci ne peuvent traiter ces données que sur instruction expresse de PaceBlade ou en vertu d’une obligation légale. Des droits d’accès sont mis en place afin de limiter l’accès aux seules données nécessaires à la mission de l’employé. Un accord de confidentialité est signé par chaque employé accédant aux données.

PaceBlade veille également à ce que les tiers destinataires de données personnelles respectent la législation applicable et cette politique.

6. Transfert de données à caractère personnel

Dans certains cas, PaceBlade peut être amenée à transférer vos données personnelles à des tiers, que ce soit au sein de son groupe de sociétés ou en dehors. En tout état de cause, ces données ne sont transmises qu’aux destinataires ayant besoin d’en connaître, dans un but de traitement spécifique. L’organisation prend toujours les mesures de sécurité nécessaires lors de ces transferts, afin de garantir la confidentialité et l’intégrité des données.

Le transfert à des tiers peut prendre différentes formes, décrites ci-dessous.

Transfert au sein du groupe PaceBlade ​

The transfer of personal data within the PaceBlade group is considered as a transfer to a third party. Consequently, this transfer may only occur when PaceBlade has complied with the different principles and obligations of the data protection legislation. This means, among other things, that the data subject must be informed about the transfer and the reason for this transfer and that the transferring organisation can rely on a legal basis (consent from the data subject, performance of an agreement, legitimate interest, etc.) for this transfer. The organisation must also comply with the other principles as summarised in Article 5 of this policy for this additional processing.

Transfert à des sous-traitants
PaceBlade peut faire appel à des sous-traitants pour traiter des données personnelles, pour son compte et uniquement selon ses instructions. Le sous-traitant ne peut en aucun cas utiliser ces données à ses propres fins.

PaceBlade collabore avec des sous-traitants dans le cadre de prestations de services : agences de voyage, sociétés de location, services médicaux, cabinets de conseil, etc. ​

PaceBlade ne fournit des données personnelles à ses sous-traitants que si un contrat de sous-traitance conforme au RGPD est signé. Ce contrat prévoit notamment que le sous-traitant : n'agit que sur instruction de l’organisation ; assiste l’organisation à sa demande ; respecte la confidentialité des données.

Le contrat précise également les mesures de sécurité que le sous-traitant doit appliquer pendant toute la durée du traitement.

PaceBlade prendra les mesures nécessaires si un sous-traitant ne respecte pas les obligations contractuelles.

Un modèle de contrat est disponible auprès du DPO.

7. Durée de conservation des données

PaceBlade ne conserve les données personnelles que pendant la durée nécessaire à la finalité du traitement. Une fois ce délai écoulé, les données sont supprimées ou anonymisées. Si PaceBlade souhaite encore utiliser les données à des fins statistiques, elles seront d’abord anonymisées. Les données peuvent être conservées plus longtemps dans le cadre de la gestion des litiges, de la recherche ou à des fins d’archivage.

8. Droits des personnes concernées

La législation sur la protection des données reconnaît plusieurs droits aux personnes concernées afin qu’elles conservent un contrôle sur l’usage de leurs données.

Cette politique vise déjà à fournir un maximum d’informations de manière transparente. Elle doit être lue en complément de notes d’information spécifiques.​

PaceBlade comprend que des questions ou demandes supplémentaires peuvent survenir. L’organisation respecte donc ces droits, dans les limites prévues par la loi.

Droit d’accès / Inspection

Toute personne concernée peut demander si PaceBlade traite ses données personnelles. En cas de traitement, elle peut accéder à ses données.

PaceBlade informe alors la personne concernée :

• des finalités du traitement ;
• des catégories de données concernées ;
• des destinataires ou catégories de destinataires ;
• des transferts éventuels vers des pays tiers ou des organisations internationales ;
• de la durée de conservation ou des critères utilisés ;
• de ses droits : rectification, effacement, limitation, opposition ;
• du droit d’introduire une plainte auprès d’une autorité de contrôle ;
• de la source des données si elles n’ont pas été fournies directement ;
• de l’existence d’une prise de décision automatisée (profilage, etc.) et de ses conséquences.

Une copie des données est fournie gratuitement. Des frais raisonnables peuvent être demandés pour les copies supplémentaires.

Droit de rectification

Si une personne constate que des données la concernant sont inexactes ou incomplètes, elle peut en informer PaceBlade. Elle est responsable de fournir des informations exactes.

Droit à l’effacement (« droit à l’oubli »)

La personne concernée peut demander la suppression de ses données si le traitement ne respecte pas la législation (conformément à l’article 17 du RGPD).

Droit à la limitation du traitement

La limitation peut être demandée lorsque :

• l’exactitude des données est contestée, pendant une vérification ;
• le traitement est illégal mais la personne refuse la suppression ;
• PaceBlade n’a plus besoin des données, mais la personne en a besoin pour un recours en justice ;
• la personne s’oppose au traitement, en attendant la vérification des intérêts légitimes.

Droit à la portabilité

La personne concernée peut recevoir ses données dans un format structuré, couramment utilisé et lisible par machine. Elle peut aussi demander leur transmission directe à un autre responsable du traitement. Ce droit s’applique si le traitement repose sur le consentement et s’effectue de manière automatisée.

Droit d’opposition

Lorsqu’un traitement est fondé sur l’intérêt légitime ou vise des finalités de marketing direct (y compris le profilage), la personne concernée peut s’y opposer.

PaceBlade cessera alors le traitement, sauf motif légitime impérieux ou nécessité liée à une action en justice.

Décision individuelle automatisée

La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (y compris le profilage), produisant des effets juridiques ou significatifs (ex. : évaluation de la performance au travail, de la solvabilité, etc.).

Ce droit ne s’applique pas si la décision est : autorisée par une loi ; nécessaire à la conclusion ou à l’exécution d’un contrat ; fondée sur le consentement explicite.

Dans ces deux derniers cas, PaceBlade garantit une intervention humaine, la possibilité de faire valoir son point de vue et de contester la décision.

Droit de retirer son consentement

Si vous avez donné votre consentement à un traitement spécifique, vous pouvez le retirer à tout moment en envoyant un e-mail.

Procédure pour exercer vos droits

Vous pouvez exercer vos droits en envoyant un e-mail à l’adresse suivante : privacy@paceblade.eu ou en appelant le +32 10 39 49 32. PaceBlade peut demander une preuve d’identité pour vérifier la légitimité de la demande.

En cas de question sur les principes décrits ou les obligations légales de l’organisation, vous pouvez également contacter le DPO via les mêmes coordonnées :  privacy@paceblade.eu ou +32 10 39 49 32.

PaceBlade s’efforce de répondre dans un délai d’un mois. Si ce n’est pas possible, l’organisation informera la personne concernée du retard ou des raisons de l’absence de réponse. Enfin, PaceBlade prendra les mesures nécessaires pour informer les destinataires des données personnelles des rectifications, effacements ou limitations demandées.

9. Responsabilités des employés

PaceBlade attend de ses employés qu’ils respectent cette politique et veille à ce que toutes les personnes dont elle est responsable s’y conforment.

Il est essentiel que les employés comprennent les objectifs de cette politique et s’y familiarisent afin de pouvoir en respecter les dispositions. Ainsi, les employés doivent :

• Traiter les données personnelles des collègues, clients, etc., de manière régulière et appropriée, conformément à la législation applicable, aux instructions de l’employeur et à la politique de confidentialité de l’entreprise, en assurant la confidentialité et l’intégrité des données traitées ;
• Demander conseil à leur supérieur hiérarchique ou au DPO en cas de doute sur l’application de cette politique ou sur le respect de la législation en matière de protection des données dans le cadre de leurs fonctions ;
• Ne traiter les données personnelles que si cela est nécessaire à l’exercice de leurs fonctions et/ou sur instruction de l’organisation ;
• Suivre des formations sur le traitement confidentiel des données personnelles, ainsi que sur les principes et obligations généraux issus de la législation sur la protection des données ;
• Apporter leur assistance au DPO ;
• Ne pas enregistrer de copies de données personnelles sur leur poste de travail ou des supports portables personnels si l’organisation met à disposition un système de stockage centralisé et sécurisé — car cela peut entraîner l’utilisation de données incorrectes et accroître les risques de violation ;
• Informer immédiatement le DPO en cas de violation potentielle ou avérée de données à caractère personnel ou de la législation sur la protection des données.

10. Conformité

Toutes les entités faisant partie du groupe PaceBlade garantissent le respect de cette politique. Toute personne ayant accès aux données personnelles traitées par l’organisation est tenue de respecter cette politique. Le non-respect de cette politique peut entraîner des mesures disciplinaires ou des sanctions telles qu’un avertissement, un licenciement ou toute autre sanction autorisée par la loi, sans préjudice du droit d’intenter des actions civiles ou pénales.

11. Audit et révision

PaceBlade se réserve le droit d’adapter ou de réviser cette politique lorsqu’elle le juge nécessaire, notamment pour rester conforme aux obligations légales et/ou aux recommandations de l’autorité de protection des données compétente.

Si PaceBlade est dans l’impossibilité de respecter certaines dispositions de cette politique en raison d’obligations légales impératives, elle en informera le DPO.

12. Entrée en vigueur

La présente politique est applicable à partir de juillet 2024.

13. Mesures de sécurité techniques et organisationnelles

Mesures organisationnelles – Consultant en sécurité

• Plan de sécurité et de gestion des risques
• Directive en matière de sécurité
• Sensibilisation du personnel via des formations et des actions d’information
• Procédure de signalement des incidents physiques ou techniques
• Classification des informations
• Conséquences disciplinaires en cas de non-respect des mesures
• Plan de reprise, plan d’urgence ou plan de continuité en cas d’incidents physiques, techniques ou autres
• Plan de continuité des activités
• Plan de contrôle régulier de l’efficacité des mesures techniques et organisationnelles
• Contrôle mensuel de la pertinence des systèmes et services de traitement

Mesures techniques

• Système de sauvegarde
• Mesures contre les incendies, effractions, dégâts des eaux ou incidents physiques/techniques
• Contrôle d’accès (physique et logique)
• Système d’authentification
• Politique de mot de passe
• Politique d’identifiants utilisateur
• Système de journalisation, détection et analyse des accès
• Mise à jour des correctifs (patching)
• Antivirus
• Pare-feu (firewall informatique)
• Sécurité du réseau
• Surveillance, maintenance et suivi des systèmes
• Chiffrement des données personnelles
• Pseudonymisation des données personnelles

1) Un délégué à la protection des données (DPO) doit être désigné dans les cas suivants :

Lorsque le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leurs fonctions judiciaires ; Lorsque le responsable du traitement est principalement chargé de traitements qui, de par leur nature, leur portée et/ou leurs finalités, nécessitent une surveillance régulière et systématique à grande échelle des personnes concernées ; Lorsque le responsable du traitement est principalement chargé du traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.