Ce site web utilise des cookies pour faciliter votre navigation : préférences en matière de cookies . Consultez aussi notre Politique de confidentialité .
Mensura Service Externe de Prévention et de Protection au Travail ASBL dont le siège social est sis Rue Gaucheret 88/90 1030 Bruxelles, avec le numéro d’entreprise 0410.664.742, inscrite au registre des personnes morales de Bruxelles, valablement représentée par Gretel Schrijvers en sa qualité de directrice générale
Ci-après dénommée « le responsable du traitement»; (conforme le conseil de COPREV, daté 26/01/2018)
Déclare ce qui suit :
Le responsable du traitement reconnaît l’importance du traitement sécurisé des données à caractère personnel de nos clients. À l’aide de cette politique relative au respect de la vie privée, le responsable du traitement désire donner une idée du traitement de vos données à caractère personnel.
Cette politique relative au respect de la vie privée a été établie, tout en respectant le Règlement européen relatif à la protection des données (soit le « RGPD ; Règlement Général sur la Protection des Données ») en date du 27 avril 2016. Cette Règlementation a été convertie en loi-cadre du 30 juillet 2018 sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
De même, la nouvelle directive européenne relative au respect de la vie privée électronique, en tant que lex specialis, a été prise en considération pour le traitement des données à caractère personnel dans le cadre du marketing direct et des cookies. (*lorsque cette Politique relative au respect de la vie privée a été rédigée, il s'agissait encore d'un projet)
Si le contenu des textes de loi susmentionnés vient à changer, le responsable du traitement adaptera cette Politique relative au respect de la vie privée conformément à ces modifications. Nos clients seront informés en temps utile des modifications essentielles. Les modifications additionnelles ne seront pas informées à nos clients car notre Politique relative au respect de la vie privée peut être consulté à notre website publique.
Cette Politique relative au respect de la vie privée et ses annexes sont considérées comme des annexes du Contrat principal entre le responsable du traitement et le client. Cette Politique relative au respect de la vie privée est d'application pendant la durée du Contrat principal.
Si des dispositions contraires sur le traitement des données à caractère personnel sont reprises dans le Contrat principal, cette Politique relative au respect de la vie privée primera.
Toute dérogation à cette Politique relative au respect de la vie privée sera uniquement valable si les deux parties ont donné leur accord par écrit.
Pour l’application de cette politique relative au respect de la vie privée, les notions suivantes auront les significations suivantes conformément au texte du RGPD.
« Personne concernée » : la personne physique identifiée ou identifiable.
« Données concernant la santé » : les données à caractère personnel relative àla santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.
« Catégories spécifiques des données à caractère personnel » : les données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
« Infraction en rapport avec les données à caractère personnel » : une infraction au niveau de la protection qui donne lieu, par accident ou de manière illégitime, à la destruction, la perte, la modification ou la fourniture non autorisée de ou l’accès non autorisé à des données envoyées, sauvegardées ou autrement traitées.
« Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée » ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
« Utilisation d’un pseudonyme » :le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.
« Autorisation de la personne concernée » : toute volonté libre, spécifique, informée et explicite avec laquelle la personne concernée accepte le traitement des données à caractère personnel à l’aide d’une déclaration ou d’une action active explicite la concernant.
« Sous-traitant » : une personne physique ou une personne morale, l’autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
« Traitement » : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
« Responsable du traitement » : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.
Le responsable du traitement garantit que vos données à caractère personnel :
Les données à caractère personnel sont légitimement traitées par le responsable du traitement, étant donné que le traitement repose sur une base légale. L’article 6, 1, C du RGPD indique que les données à caractère personnel sont légitimement traitées si « Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ; (ici : le client) ».-Dans ce cas, l’obligation légale de prendre les mesures nécessaires dans le cadre de la santé et de la sécurité sur le lieu de travail repose sur le client. Ces obligations légales sont reprises dans le Code relatif au bien-être sur le lieu de travail.
Les données à caractère personnel susmentionnées renvoient entre autres au nom, au prénom, à l’adresse, au téléphone, au sexe, à l’âge… Vous pouvez retrouver un aperçu à l’annexe I de cette politique.
Mensura peut traiter les données personnelles suivantes sur base d’un intérêt légitime (tant physiquement que via le site-web) :
Nous recueillons ces informations personnelles aux fins suivantes :
Les Données Personnelles ci-dessus sont conservées en interne pendant une durée de 10 ans suivant la fin de l’année au cours de laquelle s’est déroulée la formation.
Les catégories particulières de données à caractère personnel sensibles (plus explicitement : « Les données à propos de la santé ») sont légitimement traitées par le responsable du traitement sur la base de l’article 9, b) et h) du RGPD ;
La prestation de services du responsable du traitement est principalement stipulée par la loi, à savoir dans le Code relatif au bien-être sur le lieu de travail. Le client est obligé – par la loi Belge – de s’affilier chez un service externe de prévention et protection au travail.
Les catégories particulières de données à caractère personnel traitées par le responsable du traitement portent sur les données à propos de la santé ; entre autres le poids, l’IMC, l’aptitude (l’inaptitude) au travail stipulée sur le FES (Formulaire d’évaluation de la santé) ou le FERI (Formulaire d’évaluation de la réintégration), les données médicales, les données psychologiques, les lésions après un grave accident du travail, le style de vie de la personne concernée… Vous pouvez retrouver un aperçu à l’annexe I de cette politique.
Dans le cadre des prestations de services en vertu desquelles le responsable du traitement (Mensura) doit directement demander à la Personne concernée les Données à caractère personnel, le responsable du traitement (Mensura) informera la Personne préalablement concernée des éléments suivants aux termes de l'article 13 du RGPD :
Lorsque le responsable du traitement fournit des services dans le cadre des points 3 et 4, le client doit communiquer les informations susmentionnées à la Personne concernée. Cette politique relative au respect de la vie privée peut être la base pour le client d’informer les Personnes concernées.
Concernant le traitement des données à caractère personnel à des fins de marketing, le responsable du traitement (ici : Mensura) peut s'appuyer sur une base légale (considération 47 du RGPD). On prévoit toujours une possibilité de refus pour la personne concernée (les personnes concernées).
Les promotions et les informations relatives aux produits et services fournis par Mensura sont considérées comme des fins de marketing direct. Les données personnels du client (coordonnées) sont traitées à des fins de marketing, afin que Mensura puisse tenir le client informé de nos produits et services.
Les données personnelles des employés et donc des personnes concernées (au sens du point 4 de la présente Politique relative au respect de la vie privée) du client du responsable de traitement sont traitées à des fins de marketing. Nous soulignons également les droits des personnes concernées (cf. point 15 de la présente Politique relative au respect de la vie privée) et plus particulièrement l’article 21 de la RGPD, le droit d’objection qui peut être exercé à tout moment.
Le responsable du traitement garantit que les rapports de groupe sont effectués de manière anonyme vu que les données à caractère personnel ne sont communiquées qu'à partir d'un ensemble de données de 10.
Les résultats de l'examen médical font par exemple partie de l'analyse de risque. Ces résultats sont communiqués sous la forme de résultats de groupe anonymes.
Le responsable du traitement a établi un registre des activités de traitement, dans lequel les éléments suivants sont décrits de manière détaillée par prestation de services du responsable du traitement :
Si vous avez des questions ressortant de ce cadre et qui ne sont pas expliquées dans cette politique, nous vous demandons de contacter les personnes mentionnées au point 20.
Tout en tenant compte de la situation de la technique, des frais d’exécution, ainsi que de la nature, de l’importance, du contexte et des objectifs de traitement et des risques variés concernant la probabilité et la gravité pour les droits et les libertés des personnes, le responsable du traitement prend des mesures techniques et organisationnelles appropriées afin que les données à caractère personnel soient traitées en toute sécurité. Vous pouvez trouver une liste de ces mesures à l’annexe II de cette politique.
Le responsable du traitement garantit conformément à l’article 32 du RGPD prendre les mesures nécessaires, portant entre autres sur :
Le responsable du traitement garantit que ses collaborateurs, ayant accès aux données à caractère personnel, se limitent à ceux impliqués dans l’exercice de la prestation de services. De même, ses collaborateurs sont contractuellement liés à une obligation de confidentialité.
Les tierces parties pouvant éventuellement avoir accès aux données à caractère personnel se limitent aussi à celles impliquées dans l’exercice de la prestation de services. Un aperçu des tiers peut être demander par nos clients.
Si le responsable du traitement engage lui-même un sous-traitant pour effectuer des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations relatives à la protection des données sont imposées à ce sous-traitant que celles découlant de ce contrat, notamment, entre autres, l’obligation de prendre des mesures techniques et organisationnelles appropriées concernant le traitement des données à caractère personnel. A cette fin, les sous-traitants ont signé un contrat de traitement conformément à l’article 28 point 3 RGPD. Un aperçu des sous-traitants peut être demander par nos clients.
Le responsable du traitement garantit que les sous-traitants traitent purement et simplement les données à caractère personnel ressortant de ses instructions écrites. Si les sous-traitants engagent eux-mêmes un sous-traitant ultérieur, les sous-traitants restent en principe responsables vis-à-vis le sous-traitant ultérieur.
Le responsable du traitement garantit que les données à caractère personnel ne sont pas traitées en dehors d’un État membre de l’Union européenne. Les données à caractère personnel sont uniquement traitées en Belgique.
La prestation de services du responsable du traitement est principalement stipulée par la loi, à savoir dans le Code relatif au bien-être sur le lieu de travail. Le responsable du traitement traitera uniquement les données à caractère personnel qui sont au minimum nécessaires dans le cadre de l’exécution de la prestation de services demandée. Vous pouvez retrouver un aperçu à l’annexe I de cette politique.
Le responsable du traitement garantit que les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire, pour l’exécution de la prestation de services demandée. Le responsable du traitement est lié à des délais de conservation légaux. Vous pouvez retrouver un aperçu à l’annexe I de cette politique.
15.1. Généralités
Dans le cadre du RGPD, les personnes concernées ont les droits suivants vis-à-vis de leurs données à caractère personnel :
Dans la plupart des cas, le droit à l’effacement des données ne sera pas exécuté par le responsable du traitement, étant donné que le traitement est basé sur une obligation de traitement légale.
Dans la plupart des cas, le droit d’opposition ne sera pas exécuté par le responsable du traitement, étant donné que le traitement est basé sur une obligation de traitement légale.
Le responsable du traitement garantit de répondre à la demande dans le mois, suivant la réception de la demande. Ceci, conformément aux obligations du responsable du traitement à l’article 12 point 3 du RGPD. En fonction de la complexité et du nombre de demandes, ce délai peut encore être prolongé de deux mois si nécessaire. Le responsable du traitement informe la personne concernée dans le mois suivant la réception de la demande d’une telle prolongation.
Les procédures internes du responsable du traitement peuvent être trouvées aux points 15.2 et 15.3, de sorte que les personnes concernées du client peuvent correctement exécuter leurs droits auprès du responsable du traitement. Le client doit informer les personnes concernées de ces procédures internes du responsable du traitement, sous une forme succincte, transparente, compréhensible et facilement accessible et dans une langue claire et simple. Si les personnes concernées veulent exercer un droit ne ressortant pas des points 15.2. ou 15.3., la demande peut être envoyée à privacy@mensura.be.
15.2. Les droits de la personne concernée dans le cadre de la surveillance médicale
En ce qui concerne l’exercice de l’un des droits concernant son dossier médical, la personne concernée doit respecter la procédure interne suivante auprès du responsable du traitement:
Le droit de regard sur les dossiers médicaux n’est pas immédiatement accordé au travailleur, mais bien à son médecin traitant. Ceci, conformément à l’avis de l’Ordre des Médecins daté du 07-09-96.
15.3. Les droits de la personne concernée dans le cadre des dossiers psychosociaux
En ce qui concerne l’exercice de l’un des droits concernant son dossier psychosocial, la personne concernée doit respecter la procédure interne suivante auprès du responsable du traitement:
15.4. Le droit d’introduire une réclamation auprès de l’autorité de surveillance belge (= « l'Autorité de protection des données »)
Conformément à l’article 77 du RGPD, la personne concernée a le droit d’introduire directement une réclamation auprès l’Autorité de protection des données, si elle estime que ses données à caractère personnel ne sont pas protégées et/ou traitées conformément au RGPD par le responsable du traitement.
16.1. Transmission des données à caractère personnel du Département de la surveillance médicale :
La transmission des dossiers de santé est régie par le Code sur le Bien-être au travail, Livre I, Titre 4, Section 4.
Le dossier de santé est composé de quatre parties différentes :
Le dossier de santé ne contient pas d’informations à propos de la collaboration à des programmes concernant la santé publique n’ayant pas de rapport avec la profession.
La transmission des données médicales se fait sous la responsabilité du médecin dirigeant le département ou la division chargée de la surveillance médicale (directeur de la surveillance médicale).
Pour la transmission des dossiers médicaux, le directeur de la surveillance médicale du nouveau service externe doit adresser un courrier au directeur de la surveillance médicale de Mensura en demandant la transmission des données. C’est seulement après la réception de la demande que les dossiers demandés sont effectivement transmis.
16.2. Transmission des données à caractère personnel du département psycho
La transmission de ces données à caractère personnel est régie à l’article 34 du Code du bien-être au travail, livre I Titre 3 Prévention des risques psychosociaux au travail.
Si le client change de service externe pour la prévention et la protection au travail, la transmission du dossier individuel est réglée de la manière suivante :
1° Si la demande d’intervention psychosociale formelle est en cours de traitement au moment du changement :
2° Si le traitement de la demande d’intervention psychosociale formelle est clôturé au moment du changement de service externe pour la prévention et la protection au travail, le conseiller en prévention pour les aspects psychosociaux du nouveau service externe peut obtenir une copie du dossier individuel du conseiller en prévention pour les aspects psychosociaux auprès duquel la demande avait été introduite, si cela s’avère nécessaire pour l’exécution de ses missions.
La transmission du dossier individuel se fait en fonction des conditions qui garantissent le secret professionnel.
Le responsable du traitement garantit que dans le mois à compter de la fin du Contrat principal, les données à caractère personnel traitées sont effacées ou cédées sur demande du client, à moins qu'une disposition légale autorise le responsable du traitement à conserver les données à caractère personnel pour une plus longue période.
Sur demande du client, le responsable du traitement en fournit les preuves nécessaires.
En outre, les sous-traitants et les tiers sont informés par le responsable du traitement de l'effacement des données à caractère personnel recueillies si le Contrat principal est terminé. Et ce, à moins qu'ils ne puissent se prévaloir d'une disposition légale permettant de conserver plus longtemps les données à caractère personnel.
Le responsable du traitement informe le client dans les 3 jours ouvrables s'il :
Le responsable du traitement donne au client 72 heures, à compter de la notification, pour faire part de ses réserves s'agissant de cette transmission des données à caractère personnel.
Le responsable du traitement a l’obligation de communiquer, dans les 72 heures, à l’autorité de surveillance belge les infractions relatives à la protection des données à caractère personnel. Ceci, sauf s’il n’est pas probable que l’infraction en rapport avec les données à caractère personnel implique un risque pour les droits et les libertés de la personne concernée (des personnes concernées).
Le responsable du traitement informe le client sans retard déraisonnable dès qu’il a pris connaissance d’une infraction en rapport avec les données à caractère personnel. Il est convenu que le responsable du traitement et le client se contactent dans les 48 heures suivant la prise de connaissance de l’infraction par le responsable du traitement et décident de manière conjointe si l’infraction est transmise à l’autorité de surveillance belge compétente.
Si l’infraction en rapport avec les données à caractère personnel implique probablement un risque élevé pour les droits et les libertés de personnes physiques, la personne concernée (les personnes concernées) doit être informée immédiatement de l’infraction en rapport avec les données à caractère personnel conformément à l’article 34 du RGPD.
Aussi bien le responsable du traitement que le client collaborent avec l’autorité de surveillance belge compétente pour fournir les informations nécessaires et pour limiter les conséquences de l’infraction.
En cas de nullité de l'une ou de plusieurs des dispositions de la présente Politique relative au respect de la vie privée, les autres dispositions demeurent pleinement en vigueur.
Le droit belge s'applique à cette Politique relative au respect de la vie privée. Les parties soumettront exclusivement leurs litiges afférents à cette Politique relative au respect de la vie privée aux tribunaux de Bruxelles.
Le responsable du traitement garantit de proposer au client l’assistance et les informations nécessaires et complémentaires de sorte que le responsable du traitement puisse prouver le respect de ses obligations, en vertu du RGPD. Cette obligation d'information ne s'étend pas aux informations confidentielles ou qui pour des raisons légales ne peuvent pas être communiquées au client.
De même, le responsable du traitement fournira la collaboration nécessaire si un audit est réalisé auprès du responsable du traitement pour le compte du client, ou d’un contrôleur habilité par le client. Le client supporte les coûts du contrôleur désigné et de l’audit réalisé. L'audit se limitera toujours aux systèmes du responsable du traitement utilisés pour les traitements.
Le fonctionnaire pour la protection des données (ou le Data Protection Officer) et le Security Officer du responsable du traitement peuvent être contacté à l’adresse électronique suivante : privacy@mensura.be.
Les catégories des données à caractère personnel que le responsable du traitement peut traiter
La durée de la conservation
Dossier médical = délais de conservation légaux (= 40 ans).
Dossiers psychosociaux = délai de conservation légal (= 20 ans).
Télechargez la politique relative au respect de la vie privée
Plateforme sécurisée de lanceur d’alerte
L'intégrité est un élément important des opérations de Mensura. C'est cette raison qu'un canal d'alerte a été mis en place qui permet aux employés et aux parties externes de signaler en toute confidentialité des violations des politiques et procédures internes, des lois et des règlements de manière confidentielle et efficace, tout en protégeant le rapporteur contre les représailles.
Si vous constatez une violation de la réglementation ou une fraude, vous pouvez la signaler par la plateforme sécurisée de lanceur d’alerte de Mensura, disponible à l'adresse suivante https://mensura.whistlelink.com/.
Par ce platforme, vous pouvez même soumettre votre rapport de manière anonyme, si vous le souhaitez. Les rapports sont traités par une partie externe, BDO, qui est également notre auditeur interne, et sont suivis par Mensura par Kris Puelings. Vous trouverez de plus amples informations sur la manière dont votre rapport sera traité dans la politique de lanceur d’alerte. Si vous avez des questions ou des commentaires, vous pouvez toujours nous contacter à l'adresse privacy@mensura.be.
Cookies enregistrés