Cette Politique relative au respect de la vie privée et ses annexes sont considérées comme des annexes du Contrat principal entre le responsable du traitement et le client. Cette Politique relative au respect de la vie privée est d'application pendant la durée du Contrat principal.

Si des dispositions contraires sur le traitement des données à caractère personnel sont reprises dans le Contrat principal, cette Politique relative au respect de la vie privée primera.

Toute dérogation à cette Politique relative au respect de la vie privée sera uniquement valable si les deux parties ont donné leur accord par écrit.

Pour l’application de cette politique relative au respect de la vie privée, les notions suivantes auront les significations suivantes conformément au texte du RGPD.

« Personne concernée » : la personne physique identifiée ou identifiable.

« Données concernant la santé » : les données à caractère personnel relative àla santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

« Catégories spécifiques des données à caractère personnel » : les données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

« Infraction en rapport avec les données à caractère personnel » : une infraction au niveau de la protection qui donne lieu, par accident ou de manière illégitime, à la destruction, la perte, la modification ou la fourniture non autorisée de ou l’accès non autorisé à des données envoyées, sauvegardées ou autrement traitées.

« Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée » ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

« Utilisation d’un pseudonyme » :le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.

« Autorisation de la personne concernée » : toute volonté libre, spécifique, informée et explicite avec laquelle la personne concernée accepte le traitement des données à caractère personnel à l’aide d’une déclaration ou d’une action active explicite la concernant.

« Sous-traitant » : une personne physique ou une personne morale, l’autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

« Traitement » : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

« Responsable du traitement » : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

Le responsable du traitement garantit que vos données à caractère personnel :

1. Sont traitées d’une manière licite, loyale et transparente
2. Sont collectées à des fins bien déterminées, explicites et légitimes
3. Sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées
4. Sont exactes et, si nécessaire, tenues à jour
5. Sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
6. Sont traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées

Les données à caractère personnel sont légitimement traitées par le responsable du traitement, étant donné que le traitement repose sur une base légale. L’article 6, 1, C du RGPD indique que les données à caractère personnel sont légitimement traitées si « Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ; (ici : le client) ».-Dans ce cas, l’obligation légale de prendre les mesures nécessaires dans le cadre de la santé et de la sécurité sur le lieu de travail repose sur le client. Ces obligations légales sont reprises dans le Code relatif au bien-être sur le lieu de travail.

Les données à caractère personnel susmentionnées renvoient entre autres au nom, au prénom, à l’adresse, au téléphone, au sexe, à l’âge… Vous pouvez retrouver un aperçu à l’annexe I de cette politique.

Mensura peut traiter les données personnelles suivantes sur base d’un intérêt légitime (tant physiquement que via le site-web) :

• Si l’inscription n’est pas faite par le participant lui-même, dans ce point 4, le terme « personne concernée » signifie : « à la fois la personne qui a effectué l’inscription et le participant à la formation ».
• Les données à caractère personnel suivantes seront traitées :
  • De la personne concernée :
    • Prénom et nom de la famille
    • Numéro de téléphone / numéro de GSM
    • Date de naissance
    • Fonction
    • Adresse e-mail
    • Langue
    • Signature
    • Evaluation du formateur
  • Remarques (par exemple, allergies alimentaires)
  • Données sur l’entreprise : nom de l’entreprise, adresse de la succursale, adresse de facturation, numéro de TVA, client avec Mensura, numéro de connexion, type d’entreprise (A,B,C,D, E ou M)
  • Méthode de paiement

Nous recueillons ces informations personnelles aux fins suivantes :

• De respecter nos obligations administratives telles que, entre autres, la facturation au client des services fournis par Mensura ou la tenue de notre comptabilité comme l’exige la loi.
• La création de fichiers relatifs à la transférabilité et à la démontrabilité des données pour, par exemple, l’accréditation ou la certification.
• Effectuer et informer sur les éléments organisationnels et administratifs relatifs à la formation (par exemple, certification, obtention de subventions, conditions légales, suivre la fréquentation, évaluation du formateur,…).
• Tenir la personne concernée informée des changements apportés au contenu du cours suivi en raison d’une nouvelle législation, de nouvelles lignes directives, de nouvelles idées, d’évolutions,…
• Informer la personne concernée des offres de webinaires/sessions d’information et de formation Mensura.
• Informer la personne concernée que le délai légal pour suivre un cours de recyclage a expiré a expiré.
• Mise à jour du matériel de cours ou des cours de formation.
• Délivrer et gérer un certificat délivre par Mensura, le cas échéant.

Les Données Personnelles ci-dessus sont conservées en interne pendant une durée de 10 ans suivant la fin de l’année au cours de laquelle s’est déroulée la formation.

Les catégories particulières de données à caractère personnel sensibles (plus explicitement : « Les données à propos de la santé ») sont légitimement traitées par le responsable du traitement sur la base de l’article 9, b) et h) du RGPD ;

• b) le traitement est nécessaire aux fins de l’exécution des obligation et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ;

La prestation de services du responsable du traitement est principalement stipulée par la loi, à savoir dans le Code relatif au bien-être sur le lieu de travail. Le client est obligé – par la loi Belge – de s’affilier chez un service externe de prévention et protection au travail.

• h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, la prise en charge sanitaire ou sociale, ou la gestion des systèmes et des services sanitaires ou sociaux sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3 ;

Les catégories particulières de données à caractère personnel traitées par le responsable du traitement portent sur les données à propos de la santé ; entre autres le poids, l’IMC, l’aptitude (l’inaptitude) au travail stipulée sur le FES (Formulaire d’évaluation de la santé) ou le FERI (Formulaire d’évaluation de la réintégration), les données médicales, les données psychologiques, les lésions après un grave accident du travail, le style de vie de la personne concernée… Vous pouvez retrouver un aperçu à l’annexe I de cette politique.

Dans le cadre des prestations de services en vertu desquelles le responsable du traitement (Mensura) doit directement demander à la Personne concernée les Données à caractère personnel, le responsable du traitement (Mensura) informera la Personne préalablement concernée des éléments suivants aux termes de l'article 13 du RGPD :

• l'identité et les coordonnées de contact du responsable du traitement
• les coordonnées de contact du délégué à la protection des données
• l'objet et la base juridique du traitement
• les destinataires ou les catégories de destinataires des données à caractère personnel
• les modalités d'exercice des droits de la Personne concernée
• du fait que la Personne concernée peut encore retirer son autorisation explicite et les modalités pour ce faire
• du fait que la personne concernée a le droit d'introduire une plainte auprès de l'autorité de surveillance 
• le délai de conservation des données à caractère personnel
• le cas échéant, l'existence d'une prise de décision automatisée

Lorsque le responsable du traitement fournit des services dans le cadre des points 3 et 4, le client doit communiquer les informations susmentionnées à la Personne concernée. Cette politique relative au respect de la vie privée peut être la base pour le client d’informer les Personnes concernées.

Concernant le traitement des données à caractère personnel à des fins de marketing, le responsable du traitement (ici : Mensura) peut s'appuyer sur une base légale (considération 47 du RGPD). On prévoit toujours une possibilité de refus pour la personne concernée (les personnes concernées).

Les promotions et les informations relatives aux produits et services fournis par Mensura sont considérées comme des fins de marketing direct. Les données personnels du client (coordonnées) sont traitées à des fins de marketing, afin que Mensura puisse tenir le client informé de nos produits et services.

Les données personnelles des employés et donc des personnes concernées (au sens du point 4 de la présente Politique relative au respect de la vie privée) du client du responsable de traitement sont traitées à des fins de marketing. Nous soulignons également les droits des personnes concernées (cf. point 15 de la présente Politique relative au respect de la vie privée) et plus particulièrement l’article 21 de la RGPD, le droit d’objection qui peut être exercé à tout moment.

Le responsable du traitement garantit que les rapports de groupe sont effectués de manière anonyme vu que les données à caractère personnel ne sont communiquées qu'à partir d'un ensemble de données de 10.

Les résultats de l'examen médical font par exemple partie de l'analyse de risque. Ces résultats sont communiqués sous la forme de résultats de groupe anonymes.

Le responsable du traitement a établi un registre des activités de traitement, dans lequel les éléments suivants sont décrits de manière détaillée par prestation de services du responsable du traitement :

• 1° Quelles catégories de données à caractère personnel sont traitées ?
• 2° Qui peut recevoir ces données à caractère personnel (en interne/en externe) ?
• 3° Pendant combien de temps les données à caractère personnel sont conservées ?
• 4° De quelle manière les données à caractère personnel sont-elles protégées ?
• 5° Les données à caractère personnel sont-elles traitées hors de Belgique ?
• 6° Qui a accès aux données à caractère personnel (en interne/en externe) ?
• 7° Les fins de traitement

Si vous avez des questions ressortant de ce cadre et qui ne sont pas expliquées dans cette politique, nous vous demandons de contacter les personnes mentionnées au point 20.

Tout en tenant compte de la situation de la technique, des frais d’exécution, ainsi que de la nature, de l’importance, du contexte et des objectifs de traitement et des risques variés concernant la probabilité et la gravité pour les droits et les libertés des personnes, le responsable du traitement prend des mesures techniques et organisationnelles appropriées afin que les données à caractère personnel soient traitées en toute sécurité. Vous pouvez trouver une liste de ces mesures à l’annexe II de cette politique.

Le responsable du traitement garantit conformément à l’article 32 du RGPD prendre les mesures nécessaires, portant entre autres sur :

• A - La pseudonymisation et le chiffrement des données à caractère personnel ;
• B - Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
• C - Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
• D - Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Le responsable du traitement garantit que ses collaborateurs, ayant accès aux données à caractère personnel, se limitent à ceux impliqués dans l’exercice de la prestation de services. De même, ses collaborateurs sont contractuellement liés à une obligation de confidentialité.

Les tierces parties pouvant éventuellement avoir accès aux données à caractère personnel se limitent aussi à celles impliquées dans l’exercice de la prestation de services. Un aperçu des tiers peut être demander par nos clients.

Si le responsable du traitement engage lui-même un sous-traitant pour effectuer des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations relatives à la protection des données sont imposées à ce sous-traitant que celles découlant de ce contrat, notamment, entre autres, l’obligation de prendre des mesures techniques et organisationnelles appropriées concernant le traitement des données à caractère personnel. A cette fin, les sous-traitants ont signé un contrat de traitement conformément à l’article 28 point 3 RGPD. Un aperçu des sous-traitants peut être demander par nos clients.

Le responsable du traitement garantit que les sous-traitants traitent purement et simplement les données à caractère personnel ressortant de ses instructions écrites. Si les sous-traitants engagent eux-mêmes un sous-traitant ultérieur, les sous-traitants restent en principe responsables vis-à-vis le sous-traitant ultérieur.

Le responsable du traitement garantit que les données à caractère personnel ne sont pas traitées en dehors d’un État membre de l’Union européenne. Les données à caractère personnel sont uniquement traitées en Belgique.

La prestation de services du responsable du traitement est principalement stipulée par la loi, à savoir dans le Code relatif au bien-être sur le lieu de travail. Le responsable du traitement traitera uniquement les données à caractère personnel qui sont au minimum nécessaires dans le cadre de l’exécution de la prestation de services demandée. Vous pouvez retrouver un aperçu à l’annexe I de cette politique.

Le responsable du traitement garantit que les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire, pour l’exécution de la prestation de services demandée. Le responsable du traitement est lié à des délais de conservation légaux. Vous pouvez retrouver un aperçu à l’annexe I de cette politique.

15.1. Généralités

Dans le cadre du RGPD, les personnes concernées ont les droits suivants vis-à-vis de leurs données à caractère personnel :

• 1° Droit  d’accès
• 2° Droit de rectification des données à caractère personnel incorrectes
• 3° Droit à l’effacement (« Droit à l’oubli »)

Dans la plupart des cas, le droit à l’effacement des données ne sera pas exécuté par le responsable du traitement, étant donné que le traitement est basé sur une obligation de traitement légale.

• 4° Droit à la limitation du traitement
• 5° Droit à la portabilité des données
• 6° Droit d’opposition

Dans la plupart des cas, le droit d’opposition ne sera pas exécuté par le responsable du traitement, étant donné que le traitement est basé sur une obligation de traitement légale.

Le responsable du traitement garantit de répondre à la demande dans le mois, suivant la réception de la demande. Ceci, conformément aux obligations du responsable du traitement à l’article 12 point 3 du RGPD. En fonction de la complexité et du nombre de demandes, ce délai peut encore être prolongé de deux mois si nécessaire. Le responsable du traitement informe la personne concernée dans le mois suivant la réception de la demande d’une telle prolongation.

Les procédures internes du responsable du traitement peuvent être trouvées aux points 15.2 et 15.3, de sorte que les personnes concernées du client peuvent correctement exécuter leurs droits auprès du responsable du traitement. Le client doit informer les personnes concernées de ces procédures internes du responsable du traitement, sous une forme succincte, transparente, compréhensible et facilement accessible et dans une langue claire et simple. Si les personnes concernées veulent exercer un droit ne ressortant pas des points 15.2. ou 15.3.,  la demande peut être envoyée à privacy@mensura.be.

15.2. Les droits de la personne concernée dans le cadre de la surveillance médicale

En ce qui concerne l’exercice de l’un des droits concernant son dossier médical, la personne concernée doit respecter la procédure interne suivante auprès du responsable du traitement:

• introduire la demande par courrier recommandé ; adressé au Dr. An De Roeck, directrice du département de la surveillance médicale, Italiëlei 2 à 2000 Anvers.
• + une copie de la carte d’identité

Le droit de regard sur les dossiers médicaux n’est pas immédiatement accordé au travailleur, mais bien à son médecin traitant. Ceci, conformément à l’avis de l’Ordre des Médecins daté du 07-09-96.

15.3. Les droits de la personne concernée dans le cadre des dossiers psychosociaux

En ce qui concerne l’exercice de l’un des droits concernant son dossier psychosocial, la personne concernée doit respecter la procédure interne suivante auprès du responsable du traitement:

• introduire la demande par courrier recommandé ; adressé au conseiller en prévention aspects psychosociaux concerné
• + une copie de la carte d’identité

15.4. Le droit d’introduire une réclamation auprès de l’autorité de surveillance belge (= « l'Autorité de protection des données »)

Conformément à l’article 77 du RGPD, la personne concernée a le droit d’introduire directement une réclamation auprès l’Autorité de protection des données, si elle estime que ses données à caractère personnel ne sont pas protégées et/ou traitées conformément au RGPD par le responsable du traitement.

16.1. Transmission des données à caractère personnel du Département de la surveillance médicale :

La transmission des dossiers de santé est régie par le Code sur le Bien-être au travail, Livre I, Titre 4, Section 4.

Le dossier de santé est composé de quatre parties différentes :

• a) les données socio-administratives relatives à l’identification du travailleur et du responsable du traitement
• b) l’anamnèse professionnelle et les données à caractère personnel médicales objectives, qui sont déterminées à l’aide des opérations obligatoires réalisées pendant les examens médicaux préventifs. Ces données à caractère personnel ont un rapport avec le poste de travail ou l’activité du travailleur
• c) les données spécifiques de nature personnelle déterminées par le médecin du travail lors des examens médicaux préventifs et qui sont réservées à ce médecin
• d) les données d’exposition de chaque travailleur employé à un poste de travail ou à une activité dans le cadre de laquelle il est exposé à des agents biologiques, physiques ou chimiques.

Le dossier de santé ne contient pas d’informations à propos de la collaboration à des programmes concernant la santé publique n’ayant pas de rapport avec la profession.

La transmission des données médicales se fait sous la responsabilité du médecin dirigeant le département ou la division chargée de la surveillance médicale (directeur de la surveillance médicale).

Pour la transmission des dossiers médicaux, le directeur de la surveillance médicale du nouveau service externe doit adresser un courrier au directeur de la surveillance médicale de Mensura en demandant la transmission des données. C’est seulement après la réception de la demande que les dossiers demandés sont effectivement transmis.

16.2. Transmission des données à caractère personnel du département psycho

La transmission de ces données à caractère personnel est régie à l’article 34 du Code du bien-être au travail, livre I Titre 3 Prévention des risques psychosociaux au travail.

Si le client change de service externe pour la prévention et la protection au travail, la transmission du dossier individuel est réglée de la manière suivante :

1° Si la demande d’intervention psychosociale formelle est en cours de traitement au moment du changement :

• a) le conseiller en prévention pour les aspects psychosociaux informe le plus rapidement possible le demandeur et l’autre personne directement concernée du fait que le service externe pour lequel il remplit ses missions ne sera plus compétent pour le traitement de la demande ;
• b) le client communique au conseiller en prévention pour les aspects psychosociaux auprès duquel la demande a été introduite, à la demande de celui-ci, les coordonnées du nouveau service externe ;
• c) le conseiller en prévention pour les aspects psychosociaux auprès duquel la demande a été introduite remet le dossier individuel au conseiller en prévention pour les aspects psychosociaux du nouveau service externe ;
• d) le conseiller en prévention pour les aspects psychosociaux du nouveau service externe informe le demandeur et les autres personnes directement concernées du fait qu’il reprend le traitement de la demande.

2° Si le traitement de la demande d’intervention psychosociale formelle est clôturé au moment du changement de service externe pour la prévention et la protection au travail, le conseiller en prévention pour les aspects psychosociaux du nouveau service externe peut obtenir une copie du dossier individuel du conseiller en prévention pour les aspects psychosociaux auprès duquel la demande avait été introduite, si cela s’avère nécessaire pour l’exécution de ses missions.

La transmission du dossier individuel se fait en fonction des conditions qui garantissent le secret professionnel.

Le responsable du traitement garantit que dans le mois à compter de la fin du Contrat principal, les données à caractère personnel traitées sont effacées ou cédées sur demande du client, à moins qu'une disposition légale autorise le responsable du traitement à conserver les données à caractère personnel pour une plus longue période.

Sur demande du client, le responsable du traitement en fournit les preuves nécessaires.

En outre, les sous-traitants et les tiers sont informés par le responsable du traitement de l'effacement des données à caractère personnel recueillies si le Contrat principal est terminé. Et ce, à moins qu'ils ne puissent se prévaloir d'une disposition légale permettant de conserver plus longtemps les données à caractère personnel.

Le responsable du traitement informe le client dans les 3 jours ouvrables s'il :

• (a) reçoit une demande d'informations, une citation ou une demande d'enquête ou de contrôle de la part d'une autorité publique en rapport avec le traitement des données à caractère personnel, sauf lorsque le responsable du traitement n'est pas légalement autorisé à effectuer une telle transmission
• (b) a l'intention de fournir des données à caractère personnel à une autorité publique
• (c) reçoit d'un tiers ou d'un travailleur, d'un client ou d'un fournisseur du client une demande de publication des données à caractère personnel du client ou d'informations se rapportant au traitement des données à caractère personnel du client

Le responsable du traitement donne au client 72 heures, à compter de la notification, pour faire part de ses réserves s'agissant de cette transmission des données à caractère personnel.

Le responsable du traitement a l’obligation de communiquer, dans les 72 heures, à l’autorité de surveillance belge les infractions relatives à la protection des données à caractère personnel. Ceci, sauf s’il n’est pas probable que l’infraction en rapport avec les données à caractère personnel implique un risque pour les droits et les libertés de la personne concernée (des personnes concernées).

Le responsable du traitement informe le client sans retard déraisonnable dès qu’il a pris connaissance d’une infraction en rapport avec les données à caractère personnel. Il est convenu que le responsable du traitement et le client se contactent dans les 48 heures suivant la prise de connaissance de l’infraction par le responsable du traitement et décident de manière conjointe si l’infraction est transmise à l’autorité de surveillance belge compétente.

Si l’infraction en rapport avec les données à caractère personnel implique probablement un risque élevé pour les droits et les libertés de personnes physiques, la personne concernée (les personnes concernées) doit être informée immédiatement de l’infraction en rapport avec les données à caractère personnel conformément à l’article 34 du RGPD.

Aussi bien le responsable du traitement que le client collaborent avec l’autorité de surveillance belge compétente pour fournir les informations nécessaires et pour limiter les conséquences de l’infraction.

En cas de nullité de l'une ou de plusieurs des dispositions de la présente Politique relative au respect de la vie privée, les autres dispositions demeurent pleinement en vigueur.

Le droit belge s'applique à cette Politique relative au respect de la vie privée. Les parties soumettront exclusivement leurs litiges afférents à cette Politique relative au respect de la vie privée aux tribunaux de Bruxelles.

Le responsable du traitement garantit de proposer au client l’assistance et les informations nécessaires et complémentaires de sorte que le responsable du traitement puisse prouver le respect de ses obligations, en vertu du RGPD. Cette obligation d'information ne s'étend pas aux informations confidentielles ou qui pour des raisons légales ne peuvent pas être communiquées au client.

De même, le responsable du traitement fournira la collaboration nécessaire si un audit est réalisé auprès du responsable du traitement pour le compte du client, ou d’un contrôleur habilité par le client. Le client supporte les coûts du contrôleur désigné et de l’audit réalisé. L'audit se limitera toujours aux systèmes du responsable du traitement utilisés pour les traitements.

Le fonctionnaire pour la protection des données (ou le Data Protection Officer) et le Security Officer du responsable du traitement peuvent être contacté à l’adresse électronique suivante : privacy@mensura.be.

Les catégories des données à caractère personnel que le responsable du traitement peut traiter

• Données d'identification personnelles (par exemple : prénom, nom, adresse, numéro de téléphone, adresse électronique, type de permis de conduire, le cas échéant)
• Caractéristiques personnelles (par exemple : âge, sexe, date de naissance, lieu de naissance, état civil, nationalité)
• Données relatives à la santé (par exemple : santé physique et psychique)
• Profession et poste (par exemple : employeur, titre et description de la fonction, date d'engagement)
• Numéro de registre national
• Données raciales ou ethniques
• Photos
• Autre catégorie de données (par exemple : numéro de livre de marin, le cas échéant)

La durée de la conservation

Dossier médical = délais de conservation légaux (= 40 ans).

Dossiers psychosociaux = délai de conservation légal (= 20 ans).

• La politique informatique interne approuvée par la direction (elle comprend la politique des mots de passe, l’utilisation acceptable des moyens de production, les politiques Clean Desk et Clear Screen, la politique des logiciels, la politique de l’Internet, la politique des courriers électroniques, la politique relative aux médias sociaux, la politique de confidentialité des données…)
• Les données sont uniquement stockées en Belgique.
• Nos systèmes sont redondants sur 2 centres de données avec une classification TIER III+. (DRP et BCP)
• L’hébergeur est certifié ISO27001.
• Des pare-feux sur plusieurs couches du réseau.
• Le Network Access Control, la séparation des réseaux, etc.
• Les données en transit sont uniquement autorisées de manière cryptée.
• L’accès à distance des utilisateurs uniquement par l’intermédiaire du VPN avec une authentification Multi Factor.
• Une sauvegarde vérifiée et des procédures de restauration.
• Les Data in rest (sauvegardes) seront cryptées
• « Role based access » en direction des applications
• Des formations User Awareness sont organisées.
• Antivirus/Antispam sur plusieurs couches. (Pare-feu, Endpoints, serveurs, systèmes de courrier électronique…)
• SIEM pour les security devices.
• Journaux et rapports.
• Tests réguliers de la sécurité.
• Gestion Mobile Device
• Capacity Management
• Mises à jour régulières de tous les systèmes et rapports à propos de celles-ci.
• Réunions de sécurité régulières avec notre hébergeur.
• Protection d’accès physique.
• Asset Management
• Contrôle du réseau et du système.
• Mesures DDOS et IPS.
• Implémentation Data Loss Prevention dans un avenir proche.
• Gestion du changement (Change Management)
• Environnements séparés pour le test, la validation et la production.
• Évaluation régulière des fournisseurs