1. Introduction

Pour l'exercice de ses activités, eutronix traite diverses données, tant commerciales que personnelles. La présente politique concerne le traitement des données à caractère personnel par eutronix. Les données personnelles de différentes catégories de personnes identifiables telles que les employés, les clients et les fournisseurs, les utilisateurs du site web, les abonnés et les autres parties prenantes sont traitées.

eutronix comprend l'importance de la protection des données à caractère personnel et les préoccupations de ses employés, clients et personnes de contact des clients, fournisseurs et personnes de contact des fournisseurs et autres personnes avec lesquelles elle est en contact en ce qui concerne le traitement de leurs données à caractère personnel. eutronix accorde toujours une attention particulière à la protection des données à caractère personnel lors des différentes opérations de traitement des données à caractère personnel.

Différentes personnes au sein de l'organisation peuvent avoir accès aux données à caractère personnel de ses employés (le terme « employés » comprend : les dirigeants et toutes les personnes qui travaillent pour eutronix, y compris les prestataires de services indépendants et les consultants, les travailleurs temporaires tels que les travailleurs intérimaires, les stagiaires, les étudiants, les bénévoles, les anciens employés) et d'autres personnes (clients et fournisseurs) au cours de l'exercice de leurs fonctions. Chacune de ces personnes au sein d'eutronix est liée par la présente politique de protection des données à caractère personnel.

La législation applicable en matière de protection des données impose à eutronix des obligations quant à la manière dont elle doit traiter les données. En outre, la législation prévoit des droits pour les personnes dont les données sont traitées, afin qu'elles aient davantage de contrôle sur leurs propres données personnelles.

Cette politique donne un aperçu des obligations générales de la législation sur la protection des données auxquelles l'entreprise et ses employés doivent se conformer. Le respect de cette politique est important pour les raisons suivantes :

• Le respect de la législation sur la protection des données est une obligation légale et le non-respect de ces obligations peut entraîner une responsabilité, des sanctions et des amendes ;
• Le respect de la législation sur la protection des données permet un traitement plus satisfaisant et plus efficace des données à caractère personnel ;
• Le respect de la législation sur la protection des données est la base d'une relation de confiance entre eutronix et ses relations d'affaires, les consommateurs et ses employés.

2. Champ d'application

La présente politique s'applique à eutronix qui traite des données à caractère personnel et contient les lignes directrices auxquelles chaque traitement de données à caractère personnel doit se conformer. Ce traitement s'effectue en tout ou en partie par des procédés automatisés qui font partie d'un système d'archivage structuré ou qui feront partie d'un système d'archivage structuré.

3. Délégué à la protection des données¹ / Personne de contact pour la protection des données personnelles

La société a désigné un délégué à la protection des données (DPD) chargé de veiller à la mise en œuvre et au respect de la législation en matière de protection des données et de la présente politique.

Le DPD peut être contacté par email à l'adresse privacy@eutronix.eu ou par téléphone au +32 10 39 49 32. Pour exercer vos droits, veuillez vous référer à l'article 8 de la présente politique.

4. Définitions

La législation applicable en matière de protection des données utilise un langage spécifique et se réfère à une matière abstraite. Vous trouverez ci-dessous plusieurs définitions afin de vous permettre de mieux comprendre la terminologie et, par extension, la présente politique.

• a. Législation sur la protection des données

Différentes législations peuvent s'appliquer, en fonction de l'application concrète dans laquelle les données à caractère personnel sont traitées.

Les principes et obligations de base sont indiqués dans le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Ce règlement est également connu sous le nom de Règlement général sur la protection des données (RGPD). La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques est applicable dans des cas spécifiques (par exemple, le traitement des données de localisation ; l'utilisation de cookies).

Outre les règlements européens, des législations nationales spécifiques en matière de protection des données s'appliquent également, telles que la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et la loi du 13 juin 2005 relative aux communications électroniques.

• b. Données personnelles

Les données à caractère personnel concernent toutes les informations relatives à une personne physique identifiée ou identifiable, également appelée « personne concernée ». Une personne est considérée comme identifiable lorsqu'elle peut être identifiée directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments caractéristiques de l'identité physique, physiologique, génétique, psychologique, économique, culturelle ou sociale de cette personne physique.

• c. Responsable du traitement

Le responsable du traitement est une personne physique ou morale (par exemple une société), une autorité publique, un service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

Par exemple, eutronix est une personne morale qui est le responsable du traitement qui traite les données à caractère personnel de ses employés dans le cadre de la gestion de son personnel.

• d. Sous-traitant

Le sous-traitant est une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement et uniquement sur instruction de celui-ci.

• e. Traitement des données à caractère personnel

Le traitement de données à caractère personnel désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés (par exemple des logiciels) et appliquées à des données à caractère personnel ou à un ensemble de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

Un exemple de traitement de données à caractère personnel est la collecte et l'enregistrement par l'organisation des coordonnées des personnes de contact de ses clients dans son logiciel de gestion des relations avec la clientèle ou dans un système d'archivage sur papier.

• f. Système de classement

On entend par fichier tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, qu'il soit centralisé, décentralisé ou dispersé sur une base fonctionnelle ou géographique.

Cela implique à la fois des systèmes d'archivage électroniques structurés au moyen de logiciels ou d'applications en nuage, et des dossiers et systèmes d'archivage sur papier, à condition que ces systèmes d'archivage soient organisés et structurés de manière logique en les reliant à des personnes ou qu'ils soient reliés à des personnes sur la base de critères.

5. Principes applicables à la collecte et au traitement des données à caractère personnel

Outre l'utilisation d'un langage spécifique, la législation sur la protection des données comporte plusieurs principes de base que tout responsable de traitement doit respecter pour être en conformité avec cette législation. En cas de doute sur l'application de ces principes dans un cas concret, vous pouvez toujours contacter le DPD pour de plus amples explications, et selon la procédure décrite à l'article 8.

La législation sur la protection des données prévoit que les données à caractère personnel doivent être traitées conformément aux différents principes de base et aux conditions qui en découlent.

• a. Législation

La législation sur la protection des données prévoit que les données à caractère personnel doivent être traitées de manière loyale et licite à l'égard de la personne concernée.

Pour traiter légalement des données à caractère personnel, une base juridique doit exister. En principe, les données à caractère personnel ne peuvent être traitées que lorsque :

• La personne concernée a donné son consentement. eutronix informe la personne concernée, au plus tard avant la collecte des données, de la finalité pour laquelle le consentement est requis, des données à caractère personnel qui seront collectées pour le traitement, du droit de révoquer le consentement, des conséquences possibles pour la personne concernée dans le cadre de la prise de décision individuelle automatisée et du profilage, ainsi que du transfert vers des pays tiers.
• Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou pour prendre des mesures à la demande de la personne concernée avant la conclusion d'un contrat ;
• Le traitement est nécessaire au respect d'une obligation légale imposée à l'organisation ;
• Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
• Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi l'organisme qui agit en tant que responsable du traitement ;
• Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par l'organisation en tant que responsable du traitement ou des intérêts d'un tiers, sauf lorsque les libertés et droits fondamentaux de la personne concernée concernant la protection de ses données à caractère personnel prévalent sur ces intérêts.

Si vous avez donné votre consentement à l'organisation pour une finalité de traitement spécifique afin qu'elle traite vos données à cette fin, vous pouvez retirer ce consentement à tout moment. L'organisation cessera alors tout traitement ultérieur des données pour lesquelles vous avez donné votre consentement et vous informera des conséquences éventuelles du retrait de votre consentement. Si l'organisation traite vos données à caractère personnel à d'autres fins et que, pour ce faire, elle se réfère à d'autres bases juridiques, elle sera toujours en mesure de traiter vos données à caractère personnel.

L'organisation veille à toujours se référer à au moins une des bases juridiques susmentionnées lorsqu'elle traite des données à caractère personnel. Si vous avez des questions sur la base juridique applicable à laquelle l'organisation se réfère, vous pouvez toujours contacter le DPD conformément à la procédure prévue à l'article 8.

Certaines catégories de données à caractère personnel sont de nature sensible et la législation sur la protection des données prévoit également un régime plus strict pour ces catégories spéciales de données à caractère personnel (également connues sous le nom de « données à caractère personnel sensibles »). Il s'agit des données concernant la race ou l'origine ethnique, les opinions politiques, les croyances religieuses ou philosophiques, ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques pour l'identification unique d'une personne, ou des données relatives à la santé, au comportement sexuel ou à l'orientation sexuelle. Les données relatives aux infractions pénales ou aux condamnations constituent également une catégorie particulière.

En principe, il est interdit de traiter ces données personnelles sensibles, sauf si l'organisation peut se référer à l'une des exceptions. Dans un nombre limité de cas, l'organisation doit traiter des données à caractère personnel sensibles. Dans ces cas, la personne concernée en sera informée au préalable. Pour ces finalités spécifiques, l'organisation fournira à l'avance à la personne concernée des informations détaillées sur les finalités spécifiques et la base juridique du traitement. Pour plus d'informations sur le traitement de données à caractère personnel sensibles par l'organisation, vous pouvez toujours contacter la personne chargée de la protection des données conformément à la procédure décrite à l'article 8 de la présente politique.

• b. Équité

eutronix veille à ce que les données à caractère personnel soient traitées :

• Pour des finalités spécifiques, explicites et légitimes et ne peuvent être traitées ultérieurement d'une manière incompatible avec les finalités initiales pour lesquelles les données ont été collectées. eutronix communique toujours clairement les finalités avant de commencer le traitement.
• Ce traitement est limité à ce qui est nécessaire aux fins pour lesquelles les données ont été collectées. Dans la mesure du possible, eutronix rendra les données anonymes ou utilisera des pseudonymes afin de limiter autant que possible l'impact sur la personne concernée. Cela signifie que le nom ou l'identifiant sera remplacé de sorte qu'il soit difficile, voire impossible, d'identifier une personne.
• Limités dans le temps et uniquement dans la mesure où ils sont nécessaires à la réalisation de l'objectif spécifique.
• Exactement, et les données sont mises à jour si nécessaire. eutronix prend toutes les mesures raisonnables pour effacer ou mettre à jour les données à caractère personnel, en tenant compte des finalités pour lesquelles elles sont traitées.

• c. Transparence

eutronix traite les données à caractère personnel qu'elle a en principe reçues directement de la personne concernée. L'organisation qui traite les données à caractère personnel de la personne concernée doit toujours informer cette dernière des points suivants :

• Identité et coordonnées du responsable du traitement
• Si un délégué à la protection des données est désigné, ses coordonnées
• Finalités du traitement et base juridique
• Si le traitement des données à caractère personnel est justifié par un intérêt légitime, une explication de cet intérêt doit être fournie.
• Catégories de destinataires des données à caractère personnel
• Transfert de données à caractère personnel vers des pays tiers (en dehors de l'UE) ou des organisations internationales (+ sur quelle base)
• Délai de conservation des données à caractère personnel ou critères utilisés pour déterminer ce délai
• Droits de la personne concernée (y compris le droit de révoquer le consentement)
• Le droit de déposer une plainte auprès de l'autorité de contrôle
• Explication lorsque la transmission de données à caractère personnel est une obligation contractuelle ou légale
• La logique qui sous-tend les processus décisionnels automatisés et les conséquences juridiques éventuelles pour la personne concernée
• Si l'organisation reçoit des données à caractère personnel d'un tiers, elle informe clairement la personne concernée des catégories de données à caractère personnel qu'elle a reçues de ce tiers et fait également connaître ce tiers à la personne concernée.

Lorsque la personne concernée dispose déjà de toutes les informations, l'organisation ne l'informe pas inutilement du traitement de ses données à caractère personnel.

Si eutronix traite des données à caractère personnel pour d'autres finalités incompatibles avec les finalités initiales pour lesquelles les données ont été initialement collectées (la nouvelle finalité ne semble pas être décrite dans la note d'information initiale et la personne concernée ne peut pas supposer que ses données à caractère personnel seront également traitées pour cette nouvelle finalité), l'organisation prendra toutes les mesures nécessaires pour traiter ces données à caractère personnel de manière licite et en informera la personne concernée.

eutronix peut divulguer les informations à la fois sur une base collective et individuelle et doit continuer à veiller à ce qu'elles soient rédigées dans un langage clair et compréhensible.

Une législation spécifique peut contenir des exceptions ou fixer des exigences supplémentaires auxquelles eutronix doit se conformer en ce qui concerne la fourniture d'informations aux personnes concernées. Ces dispositions légales obligatoires prévalent sur la présente politique.

• d. Confidentialité et intégrité

eutronix prend les mesures techniques et organisationnelles nécessaires pour que le traitement des données à caractère personnel s'effectue toujours avec les garanties appropriées, de sorte que les données soient protégées contre la perte accidentelle et contre le traitement illicite, la destruction ou l'endommagement. Lors du choix des mesures de sécurité appropriées, eutronix a tenu compte de la nature, du contexte, de la finalité et de la portée du traitement, des risques possibles lors du traitement des données à caractère personnel, des coûts de mise en œuvre des mesures et de l'état de la technique.

Ces mesures s'appliquent à l'accès physique aux données à caractère personnel, à l'accès aux données à caractère personnel par l'intermédiaire d'ordinateurs, de serveurs, de réseaux ou d'autres matériels informatiques, d'applications logicielles et de bases de données. Outre les mesures techniques et organisationnelles, les employés de l'organisation qui ont accès à des données à caractère personnel dans l'exercice de leurs fonctions sont soumis à différentes obligations afin de garantir la confidentialité et l'intégrité des données à caractère personnel, comme le résume l'article 9 de la présente politique.

eutronix organisera des cours de formation pour les employés qui traiteront des données à caractère personnel sur les instructions d'eutronix dans l'exercice de leurs fonctions. Les employés ne peuvent traiter les données à caractère personnel que sur instruction d'eutronix ou si la loi les y oblige. eutronix doit également mettre en place des droits d'accès, afin que les employés n'aient accès qu'aux données dont ils ont besoin dans l'exercice de leurs fonctions. Les employés qui ont accès aux données à caractère personnel signent un accord de confidentialité.

eutronix veille à ce que les tiers qui reçoivent des données à caractère personnel de l'organisation se conforment à la législation applicable en matière de protection des données et à la présente politique.

6. Transfert de données à caractère personnel

Dans certains cas, eutronix peut être obligé de transférer vos données personnelles à des destinataires tiers, tant au sein du groupe d'entreprises de l'organisation qu'en dehors. En tout état de cause, ces données à caractère personnel ne sont transférées que sur la base du besoin d'en connaître à ces destinataires qui effectuent le traitement à des fins spécifiques. L'organisation observera toujours les mesures de sécurité nécessaires lors du transfert des données et à l'égard des destinataires, afin de garantir la confidentialité et l'intégrité des données à caractère personnel.

Le transfert à des tiers peut prendre plusieurs formes, décrites ci-dessous.

• a. Transfert au sein du groupe de sociétés de l'organisation

Le transfert de données personnelles au sein du groupe eutronix est considéré comme un transfert à un tiers. Par conséquent, ce transfert ne peut avoir lieu que si eutronix a respecté les différents principes et obligations de la législation sur la protection des données. Cela signifie, entre autres, que la personne concernée doit être informée du transfert et de la raison de ce transfert et que l'organisation qui transfère les données peut s'appuyer sur une base juridique (consentement de la personne concernée, exécution d'un accord, intérêt légitime, etc. L'organisation doit également respecter les autres principes résumés à l'article 5 de la présente politique pour ce traitement supplémentaire.

• b. Transfert au responsable de traitement

eutronix peut demander à un tiers, un sous-traitant, de traiter des données à caractère personnel pour le compte de l'organisation et uniquement sur ses instructions. Le sous-traitant ne peut pas traiter ces données à caractère personnel à des fins propres, indépendantes de celles pour lesquelles l'organisation fait appel au sous-traitant.

eutronix peut choisir de travailler avec ces sous-traitants qui fournissent des services à la demande de l'organisation, pour les agences de voyage, les services de location, les services médicaux et autres services de conseil professionnel, etc.

eutronix ne fera appel à des sous-traitants et ne leur fournira des données à caractère personnel que lorsque des accords de sous-traitance conformes aux exigences légales auront été conclus avec les sous-traitants. Le RGPD prévoit, entre autres, que l'accord doit contenir une clause indiquant que le sous-traitant ne peut traiter les données à caractère personnel que sur instruction de l'organisation ; que le sous-traitant doit fournir une assistance à l'organisation lorsqu'elle le demande ; que les données à caractère personnel doivent rester confidentielles, etc.

Une partie de cet accord de sous-traitance concerne également les mesures de sécurité que le sous-traitant doit mettre en œuvre avant de traiter les données à caractère personnel et qu'il doit maintenir pendant toute la durée du traitement afin de garantir la confidentialité et l'intégrité des données.

eutronix prendra les mesures nécessaires si elle constate que ses sous-traitants ne respectent pas les obligations de l'accord.

Un contrat type de sous-traitance est disponible auprès du DPD.

7. Délai de conservation des données à caractère personnel

eutronix ne conservera pas les données personnelles plus longtemps que nécessaire pour l'objectif spécifique pour lequel les données ont été collectées. Une fois le délai écoulé, eutronix efface ou anonymise les données à caractère personnel. eutronix rendra les données anonymes si elle souhaite encore les utiliser à des fins statistiques. eutronix peut conserver les données personnelles pendant une période plus longue à des fins de gestion des litiges, de recherche ou d'archivage.

8. Droits des personnes concernées

La législation sur la protection des données prévoit différents droits pour les personnes concernées en ce qui concerne le traitement des données à caractère personnel, de sorte que la personne concernée puisse encore exercer un contrôle suffisant sur le traitement de ses données à caractère personnel.

eutronix s'efforce, dans le cadre de sa politique actuelle, de fournir un maximum d'informations aux personnes concernées afin d'être aussi transparent que possible en ce qui concerne le traitement des données à caractère personnel. Cette politique générale doit être lue conjointement avec des notes d'information plus spécifiques qui donnent plus d'explications sur les objectifs de traitement spécifiques de l'organisation.

eutronix comprend que la personne concernée puisse encore avoir des questions ou souhaiter des clarifications supplémentaires concernant le traitement de ses données personnelles. L'organisation comprend donc l'importance des droits et se conformera donc à ces droits, en tenant compte des limitations légales dans l'exercice de ces droits. Les différents droits sont décrits en détail ci-dessous.

• a. Droit d'accès/inspection

La personne concernée a le droit d'obtenir de l'organisation la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées. Si ses données sont traitées, la personne concernée peut demander le droit de consulter ses données personnelles.

eutronix doit informer la personne concernée sur les points suivants :

• les finalités du traitement ;
• les catégories de données à caractère personnel concernées ;
• les destinataires ou catégories de destinataires auxquels les données à caractère personnel sont fournies ;
• le transfert à des destinataires dans des pays tiers ou à des organisations internationales ;
• si possible, la période pendant laquelle il est prévu que les données à caractère personnel seront sauvegardées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période ;
• que la personne concernée a le droit de demander à l'organisation de rectifier ou d'effacer des données à caractère personnel, ou de limiter le traitement de ses données à caractère personnel, ainsi que le droit de s'opposer à ce traitement ;
• que la personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle ;
• si les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toutes les informations disponibles sur la source des données ;
• l'existence d'une prise de décision automatisée, y compris le profilage, et des informations significatives sur la logique utilisée, ainsi que l'importance et les conséquences envisagées de ce traitement pour la personne concernée.

eutronix fournit également une copie des données à caractère personnel traitées. Pour toute autre copie demandée par la personne concernée, Eutronix peut facturer des frais raisonnables.

• b. Droit de rectification

Lorsque la personne concernée constate qu'eutronix dispose de données incorrectes ou incomplètes à son sujet, elle a toujours le droit d'en informer l'organisation afin que des mesures appropriées soient prises pour rectifier ou compléter ces données. Il incombe à la personne concernée de fournir des données personnelles correctes à eutronix.

• c. Droit à l'oubli

La personne concernée peut demander l'effacement de ses données personnelles si le traitement n'est pas conforme à la législation sur la protection des données et dans les limites de la loi (article 17 du RGPD).

• d. Droit à la limitation du traitement

La personne concernée peut demander la limitation du traitement si :

• l'exactitude des données à caractère personnel est contestée par la personne concernée, pendant une période permettant au responsable du traitement de vérifier leur exactitude ;
• le traitement est illicite et la personne concernée s'oppose à l'effacement des données ;
• eutronix n'a plus besoin des données, mais la personne concernée demande qu'elles ne soient pas supprimées, étant donné qu'elle en a besoin pour l'exercice ou la défense de droits légaux ;
• il ou elle s'est opposé(e) au traitement, en attendant de vérifier si les motifs légitimes du responsable du traitement prévalent sur ceux de la personne concernée.

• e. Droit à la portabilité des données

La personne concernée a le droit d'obtenir les données à caractère personnel la concernant qu'elle a fournies à eutronix dans un format structuré, couramment utilisé et lisible par machine. La personne concernée a le droit d'obtenir que ces données à caractère personnel soient transmises à un autre responsable du traitement (directement par eutronix). Cela est possible si la personne concernée a consenti au traitement et si le traitement est effectué au moyen d'un processus automatisé.

• f. Droit d'opposition

Lorsque des données à caractère personnel sont traitées à des fins de marketing direct (y compris le profilage), la personne concernée peut toujours s'opposer à ce traitement.

La personne concernée peut également s'opposer au traitement en raison d'une situation particulière la concernant. eutronix cesse de traiter les données à caractère personnel, à moins que l'organisation ne démontre l'existence de motifs légitimes impérieux pour le traitement qui prévalent sur les intérêts de la personne concernée ou pour l'exercice ou la défense de droits en justice.

• g. Prise de décision individuelle automatisée

La personne concernée a le droit de ne pas être soumise à une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques à son égard ou qui l'affecte de manière significative, comme l'évaluation d'aspects personnels liés à l'exécution d'un travail, à la fiabilité, à la solvabilité, etc.

Ce droit de ne pas être soumis à une telle prise de décision automatisée n'existe pas lorsque la décision est autorisée par une disposition légale impérative.

La personne concernée ne peut pas non plus invoquer ce droit lorsque la décision est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et eutronix ou qu'elle est fondée sur le consentement explicite de la personne concernée. Dans ces deux derniers cas, la personne concernée a le droit d'obtenir une intervention humaine de la part d'une personne d'eutronix et elle a le droit de faire connaître son point de vue et de contester le processus de décision automatisé.

• h. Le droit de retirer son consentement

Si vous avez donné votre consentement à eutronix pour une finalité de traitement spécifique afin de traiter vos données, vous pouvez retirer ce consentement à tout moment en envoyant un e-mail.

• i. Procédure d'exercice des droits et autres dispositions

La personne concernée peut exercer ses droits en envoyant un courrier électronique au DPD à l'adresse suivante privacy@eutronix.eu or by calling the latter on this number: +32 10 39 49 32. eutronix can ask the data subject to identify himself /herself in order to ensure that it is indeed the data subject requesting to exercise his or her rights.

Si vous avez des questions concernant l'application des principes ou les obligations (légales) de l'organisation, vous pouvez toujours contacter le DPD à l'adresse suivante privacy@eutronix.eu or +32 10 39 49 32.

En principe, eutronix répond à la demande de la personne concernée dans un délai d'un mois. Dans le cas contraire, eutronix informe la personne concernée des raisons pour lesquelles la demande n'a pas reçu de réponse ou pour lesquelles elle n'a pas reçu de réponse en temps utile. eutronix prend les mesures nécessaires pour informer les destinataires des données à caractère personnel de la personne concernée de l'exercice du droit de rectification, du droit à l'effacement ou de la limitation du traitement par la personne concernée.

9. Responsabilités des employés

eutronix attend de ses employés qu'ils se conforment à cette politique et veille à ce que les personnes dont elle est responsable s'y conforment.

Il est essentiel que les employés comprennent les objectifs de cette politique et se familiarisent avec elle afin de pouvoir se conformer aux dispositions qu'elle contient. Les employés doivent donc :

• Traiter les données à caractère personnel de ses collègues, de ses clients, etc. de manière régulière et appropriée, conformément à la législation applicable, aux instructions de l'employeur et à la politique de l'entreprise en matière de protection de la vie privée, et lorsque les données à caractère personnel sont traitées de manière confidentielle et dans le respect de leur intégrité ;
• Demander conseil à leur supérieur ou au DPD s'ils ont des doutes quant à l'application de cette politique ou au respect de la législation sur la protection des données dans l'exercice de leurs fonctions ;
• Ne traiter les données à caractère personnel que lorsque cela est nécessaire à l'exécution des tâches ou sur instruction de l'organisation ;
• Suivre des formations sur le traitement confidentiel des données personnelles et sur les principes généraux et les obligations qui découlent de la législation sur la protection des données ;
• Apporter une assistance au DPD ;
• Ne pas enregistrer de copies de données à caractère personnel sur leur bureau ou sur un support de stockage portable personnel si l'organisation dispose d'un système de stockage centralisé et sécurisé, étant donné que le fait d'enregistrer ses propres fichiers ou copies peut conduire à des données à caractère personnel incorrectes et à des risques accrus de violation de la vie privée.
• Informer immédiatement le DPD s'il constate une violation potentielle ou effective des données à caractère personnel ou de la législation sur les données à caractère personnel.

10. Conformité

Toutes les entités qui font partie du groupe eutronix garantissent le respect de cette politique. Toute personne ayant accès aux données à caractère personnel traitées par l'organisation doit se conformer à cette politique. Le non-respect de cette politique peut entraîner des mesures/sanctions disciplinaires telles qu'un avertissement, un licenciement ou toute autre sanction autorisée par la loi, sans préjudice du droit d'engager des poursuites civiles ou pénales.

11. Audit et révision

eutronix se réserve le droit d'ajuster et de réviser cette politique lorsqu'elle le juge nécessaire et pour rester cohérente avec les obligations légales et/ou les recommandations de l'autorité de contrôle compétente en matière de protection des données.

eutronix doit informer le DPD lorsqu'il lui est impossible de se conformer à la présente politique en raison de dispositions légales obligatoires imposées à l'organisation.

12. Entrée en vigueur

Cette politique s'applique à partir de juillet 2024.

13. Mesures de sécurité techniques et organisationnelles

• Mesures organisationnelles

- Consultant en sécurité

- Plan de sécurité et de risque

- Directive sur la sécurité

- Sensibilisation du personnel par la formation et l'information

- Procédure de signalement des incidents physiques/techniques

- Classification des informations

- Conséquences disciplinaires si l'une des mesures n'est pas respectée

- Plan de reprise, plan de contingence ou plan d'urgence en cas d'incidents physiques, techniques ou autres

- Plan de continuité

- Plan garantissant que l'efficacité des mesures organisationnelles/techniques est régulièrement contrôlée/évaluée et appréciée

- Vérification mensuelle de l'adéquation des systèmes et services de traitement

• Mesures techniques

- Système de sauvegarde

- Mesures en cas d'incendie, d'effraction, de dégâts des eaux ou d'incidents physiques/techniques

- Contrôle d'accès (physique et logique)

- Système d'authentification

- Politique en matière de mots de passe

- Politique d'identification des utilisateurs

- Système de journalisation, détection et analyse des accès

- Patching

- Antivirus

- Pare-feu

- Sécurité du réseau

- Surveillance, recherche et maintenance des systèmes

- Cryptage des données à caractère personnel

- Pseudonymisation des données à caractère personnel

1) Un délégué à la protection des données doit être désigné dans les cas suivants :

• Traitement par une agence ou un organisme gouvernemental, à l'exception des tribunaux pour l'exercice de fonctions judiciaires.

• Le responsable est principalement chargé des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent une observation régulière et systématique d'un grand nombre de personnes concernées
  

Le responsable est principalement chargé du traitement à grande échelle de catégories particulières de données et de données à caractère personnel relatives aux condamnations pénales et aux infractions pénales.