Politique en matière de protection de la vie privée au sein du Groupe IDEWE
Si vous confiez certaines tâches à IDEWE, nous utilisons dans ce cadre les données à caractère personnel vous concernant. Bien entendu, en tant que responsable du traitement, nous prenons les mesures adéquates pour protéger votre vie privée. Nous respectons scrupuleusement les réglementations européenne, nationale et régionale pour le traitement des données à caractère personnel et la protection de la vie privée.
Le Groupe IDEWE se compose de :
- IDEWE asbl, Interleuvenlaan 58, 3001 Louvain (n° BCE 0409 862 612), représentée par le prof. dr. Lode Godderis, directeur général ;
- IBEVE asbl, Interleuvenlaan 58, 3001 Louvain (n° BCE 0436 862 612), représentée par le prof. dr. Lode Godderis, administrateur délégué.
Responsable de la protection des données : Marc Dewaelheyns (privacy@idewe.be)
Traitement des données à caractère personnel : contexte juridique
En qualité de service externe pour la prévention et la protection au travail, IDEWE asbl accomplit ses tâches conformément : :
- à la loi du 4 août 1996 relative au bien-être des travailleurs lors de l’exécution de leur travail, également appelée « loi sur le bien-être » ;
- au code du bien-être au travail ;
- à la loi du 22 août 2002 relative aux droits du patient ;
- au règlement général sur la protection des données (ci-après dénommé « RGPD) ;
- à la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel ;
- à la partie du code du bien-être au travail portant sur la réintégration de travailleurs absents pour cause de maladie de longue durée (livre Ier, titre 4 : Mesures relatives à la surveillance de la santé des travailleurs) ;
- au contrat de services avec le client ou à la demande de la personne concernée.
Si l’employeur est affilié à IDEWE asbl, nous recevons dans la plupart des cas les informations sur l’emploi des travailleurs par l’intermédiaire de la Banque Carrefour de la Sécurité sociale (BCSS). Il s’agit de données purement administratives comme le nom, le domicile, le numéro d’identification à la sécurité sociale (NISS), la date de naissance, le statut, le sexe, la nationalité et la date de début et de fin de votre occupation.
En ce qui concerne plus particulièrement les informations médicales, IDEWE asbl respecte les règles disciplinaires de l’Ordre des médecins.
Le Groupe IDEWE se compose, d’une part, d’IDEWE asbl, et d’autre part, d’IBEVE asbl, qui travaille sur une base contractuelle. Les services d’IBEVE asbl sont étroitement liés à l’ensemble de tâches légales d’un service de prévention externe, et couvrent notamment l’inventaire d’amiante, la gestion de l’environnement, l’hygiène du travail, la sécurité au travail, la coordination de la sécurité et la gestion de l’énergie.
Dans quel but traitons-nous vos données à caractère personnel ?
IDEWE asbl traite les données à caractère personnel en vertu de la législation susmentionnée pour :
- le dossier de santé et administratif ;
- l’organisation d’évaluations de santé ;
- l’examen dans le cadre de la réintégration ;
- la recherche épidémiologique et scientifique (primaire).
- la diffusion d’informations et de bulletins d’information.
Afin d’exécuter correctement les tâches qui lui sont attribuées en tant que service externe pour la prévention et la protection au travail, il est important qu’IDEWE asbl dispose des données suivantes :
- toutes les informations nécessaires à l’identification et au suivi médical des personnes concernées ;
- les données à caractère personnel à jour afin de déterminer la contribution légale annuelle de nos clients
IDEWE asbl reçoit toutes les données directement de l’employeur ou de la personne concernée elle-même et par l’intermédiaire de la Banque Carrefour de la Sécurité sociale. IDEWE utilise les informations reçues uniquement aux fins suivantes, sauf convention explicite contraire avec le travailleur.
IBEVE asbl traite des données à caractère personnel lorsque c’est nécessaire pour l’exécution des contrats.
Le Groupe IDEWE utilise certaines adresses à des fins de prospection, comme les bulletins d'information et les invitations.
Sur la base de quels fondements juridiques le Groupe IDEWE traite-t-il les données à caractère personnel ?
- Le traitement est nécessaire à l’exécution d’un contrat.
- Le traitement est nécessaire pour défendre les intérêts légitime du responsable du traitement.
- Le traitement est nécessaire pour satisfaire à une obligation légale dans le chef du Groupe IDEWE.
- Le traitement est effectué à la demande de la personne concernée.
- Dans certains cas, le consentement de la personne concernée est nécessaire pour le traitement.
Types de données à caractère personnel
Le Groupe IDEWE conserve les données suivantes :
- les données d’identification telles que le nom, le prénom, la date de naissance, le lieu de naissance, le pays de naissance et le numéro de registre national ;
- les coordonnées telles que le numéro de téléphone, l’adresse personnelle et éventuellement les coordonnées d’un contact en cas d’urgence ;
- les informations sur le travail telles que les fonctions exercées, les risques liés à ces fonctions, la date de début et de fin de l’occupation (si votre ou vos employeurs(s) est ou sont affilié(s) au Groupe IDEWE) ;
- les informations de nature privée qui peuvent avoir une influence sur la santé du travailleur ou sur la fonction exercée, telles que les hobbies, le sport ainsi que la consommation de tabac, d’alcool et de drogues ;
- les informations en matière de santé telles que les antécédents personnels et familiaux, les grossesses, les médicaments pris, l’anamnèse et la biométrie ;
- les informations de nature psychosociale sur les comportements indésirables et abusifs, le stress, etc. ;
- les coordonnées du client.
Qui a accès aux données à caractère personnel ?
- Le personnel du Groupe IDEWE
- Les intervenants avec qui une concertation est nécessaire, par exemple dans le cadre du dossier de santé ou psychosocial (uniquement avec l’accord du travailleur)
- Le client lui-même, en ce qui concerne les données à caractère personnel administratives et non médicales
- Les organisations auxquelles le Groupe IDEWE est tenu légalement de remettre des données à caractère personnel
Si, pour des raisons particulières, un tiers (un fournisseur de logiciel, par exemple) doit accéder à certaines données à caractère personnel, le Groupe IDEWE prendra les mesures nécessaires pour garantir la protection et la confidentialité de ces données. Le Groupe IDEWE conclura dans ce cadre un contrat de sous-traitance avec le tiers, tel que défini par le RGPD.
Nous traitons comme des informations médicales les informations que nous recevons du travailleur pendant (ou dans le cadre d’)un examen médical. Cela implique que seul le personnel médical et administratif d’appui y a accès.
Nous ne partageons jamais les dossiers de santé électroniques avec des tiers ou avec l’employeur ou les employeurs. Si l’entreprise choisit un autre service externe pour la prévention et la protection au travail et que le contrat avec IDEWE asbl arrive à échéance, IDEWE asbl transfère les informations du dossier de santé, et ce, conformément à la loi sur le bien-être et au code du bien-être au travail.
Protection de vos données à caractère personnel
Le plan de protection du Groupe IDEWE tient compte de tous les domaines décrits dans les principes de la norme ISO 27000. IDEWE garantit un niveau de protection adapté au risque, assorti de mesures techniques et organisationnelles telles que :
- le verrouillage des données à caractère personnel ;
- la garantie permanente :
- de la confidentialité, de l’intégrité et de la disponibilité des données traitées ;
- de la résilience de nos systèmes de traitement et services ;
- une intervention rapide en cas d’incident physique ou technique ;
- une procédure de test approfondie.
Afin de protéger les informations de manière adéquate, le Groupe IDEWE applique une classification des données. Cela signifie que plus les informations sont sensibles, plus la protection est élevée.
Tous les membres du personnel du Groupe IDEWE ont signé une clause de confidentialité faisant partie intégrante du contrat de travail.
Pour certains traitements, le Groupe IDEWE fait appel à un sous-traitant (par exemple, un fournisseur de logiciel ou un imprimeur). Le cas échéant, un contrat de sous-traitance est conclu. De la sorte, le Groupe IDEWE s’assure que tout se déroule conformément au RGPD, avec les mesures de protection et obligations organisationnelles et techniques correspondantes.
Délais de conservation
- IDEWE asbl conserve les informations relatives à un travailleur pendant au moins quinze ans. Nous dérogeons à cet égard au droit à l’oubli, en raison de la surveillance de santé prolongée. En effet, l’impact de certains risques n’est visible qu’à long terme. Ce délai est fixé dans la législation sur le bien-être au travail.
- Aspects psychosociaux : un délai de conservation de vingt ans s’applique aux demandes formelles et informelles. Pour les questionnaires dans le cadre d’une analyse de risques aspects psychosociaux, un délai de conservation de 15 ans s’applique.
- IBEVE asbl conserve les données à caractère personnel pour une durée de sept ans, par analogie au droit comptable des sociétés.
- Les dossiers de candidature sont conservés pendant cinq ans.
Utilisation du numéro de registre national à des fins d’identification
IDEWE asbl a reçu de l’Autorité de protection des données l’autorisation d’utiliser le numéro de registre national :
- pour une identification univoque des travailleurs ;
- dans le cadre de la communication avec l’employeur.
Utilisation anonyme des informations
L’une des tâches d’un service externe pour la prévention et la protection au travail est de faire de la recherche scientifique. À cette fin, IDEWE asbl utilise des informations qui ont été anonymisées ou pseudonymisées. Dans des cas exceptionnels, et uniquement si cela est strictement nécessaire pour la nature de la recherche, des données personnelles identifiables seront utilisées. IDEWE asbl respecte toujours les normes de confidentialité les plus strictes.
Droits individuels en vertu du RGPD
1. Droit de consulter les données à caractère personnel dont le Groupe IDEWE est en possession :
- dossier administratif
- La personne concernée elle-même reçoit ces données.
- dossier psychosocial
- La personne concernée a le droit de disposer d’une copie des entretiens avec le conseiller en prévention aspects psychosociaux.
- dossier de santé
- Moyennant l’accord de la personne concernée, nous remettons les documents issus du dossier de santé à son médecin traitant.
- La personne concernée a le droit de prendre connaissance des données médicales à caractère personnel et des données relatives à l’exposition qui sont contenues dans le dossier de santé, et ce, conformément aux dispositions de l’article I.4-95 du Code du bien-être au travail.
2. Droit de rectification
Si la personne concernée constate que certaines données à caractère personnel sont inexactes, elle a le droit de les faire rectifier.
3. Droit à l’effacement
Dans la plupart des cas, le droit à l’effacement des données est très limité ou ne s’applique pas, car IDEWE asbl est tenue à des obligations légales de conservation.
4. Droit de limitation du traitement
5. Pour certaines données à caractère personnel (comme le dossier de santé), des dispositions légales qui en réglementent la transmission s’appliquent.
6. Droit d’opposition
IDEWE asbl est tenue par des obligations légales de traitement, en raison desquelles le droit d’opposition ne s’applique pas dans de nombreux cas. La personne concernée peut s’opposer à tout moment à l’utilisation de ses données à caractère personnel à des fins de prospection.
7. Droit de retirer son consentement
Si le consentement de la personne concernée est requis pour un certain traitement, celle-ci peut à tout moment retirer son consentement. Attention : d’un point de vue légal, le retrait n’a de conséquences que pour les traitements ultérieurs, et jamais pour les traitements déjà effectués.
8. Décision individuelle automatisée
Si une décision individuelle est prise sur la base d’un traitement automatisé, nous donnons à la personne concernée les garanties nécessaires. Si la personne concernée n’est pas d’accord avec la décision automatisée, nous lui fournissons des explications détaillées sur le processus décisionnel, et elle a le droit d’obtenir une intervention humaine de notre part.
9. Droit d'introduire une plainte auprès d’une autorité de surveillance de la protection des données
Si la personne concernée estime que le RGPD n’a pas été respecté, elle a le droit d’introduire une plainte auprès de l’autorité de surveillance de l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise. En Belgique, il s’agit de l’Autorité de protection des données.
Exercice des droits individuels
Sauf si le mode de demande a été fixé (comme en ce qui concerne la portabilité du dossier de santé), la personne concernée peut exercer ses droits si elle introduit une demande datée.
Puisqu’il s’agit de données sensibles, nous devons être certains de l’identité de la personne concernée. Une adaptation peut en effet avoir de grandes conséquences, par exemple pour le dossier de santé.
C’est pourquoi une copie de la carte d’identité doit être jointe à la demande datée et signée. La personne concernée peut hachurer les données qui ne sont pas pertinentes pour son identification, comme le numéro de sa carte d’identité.
IDEWE asbl est habilitée à utiliser le numéro de registre national. C’est pourquoi est requise une copie de l’arrière de la carte d’identité, sur laquelle au moins le nom et le numéro de registre national sont bien visibles. Pour IBEVE asbl, une copie de l’avant de la carte d’identité suffit.
Vous pouvez également introduire une demande datée en envoyant un e-mail avec signature électronique, auquel est jointe une copie de la carte d’identité, de la même manière que décrit ci-dessus.