Règlement Général sur la Protection des Données
General Data Protection Regulation
2016/679 du 27 avril 2016 (entrée en vigueur : 25 mai 2018)
GROUPE AF COMPRESSORS (ci-après « AF »)
Table of content
- Préambule
- Champs d’application
- Définitions
- Responsables du traitement (UE) et point de contact pour la protection des données à caractère personnel
- Principes applicables à la collecte et au traitement des données à caractère personnel
- Les droits des personnes protégées par le GDPR
- Les activitées de traitement des données à caractère personnel
- Catégories de personnes concernées
- Catégories de données à caractère personnel
- Les fondements juridiques des traitements
- Conséquences en cas de refus de communication de ces données
- Catégories de destinataires
- Transfert des données vers les pays en dehors de l’Union européenne
- Sous-traitants et responsable de traitement
- Durée de conservation des données
- Mesures de sécurité techniques et organisationnelles
- portée de la présente politique
- Contact – privacy Manager
1. Préambule
La présente politique est rédigée dans le cadre du règlement européen relatif à la protection des données (General Data Protection Regulation 2016/679), ci-après appelé « GDPR ».
Dans l’exercice de ses activités qui s’inscrivent dans un cadre B to B, AF traite diverses données, tant des données commerciales qu’à caractère personnel.
La présente politique porte sur le traitement par AF, dans l’Union Européenne (ci-après « UE »), de données à caractère personnel de diverses catégories de personnes identifiables, notamment les travailleurs, les personnes de contact des clients, fournisseurs, prospects et fournisseurs potentiels, les utilisateurs du site web, …
Elle définit la manière dont AF gère le traitement des données à caractère personnel : quelles données sont traitées, à quelles fins, à qui sont-elles transférées, combien de temps et comment sont-elles conservées ?
AF entend également décrire les obligations générales qu’elle s’engage à respecter de manière à garantir la protection de ces données et l’effectivité des droits consacrés par le règlement et ainsi assurer une relation de confiance entre AF et les différentes personnes avec lesquelles elle noue des relations d’affaires et entretient des contacts.
Les diverses personnes qui, au sein du groupe, peuvent avoir accès à des données personnelles dans l’exercice de leur fonction sont liées par la présente politique de protection des données à caractère personnel.
La présente politique est élaborée de façon à constituer un standard minimum uniforme pour la protection des données à caractère personnel applicable à l’ensemble du groupe d’entreprises AF.
2. Champs d’application
La présente politique concerne tous traitements, sous quelque forme que ce soit, de données à caractère personnel.
3. Définitions
La législation applicable en matière de protection des données est une matière abstraite, qui a son propre langage. Vous trouverez ci-dessous quelques définitions qui vous aideront à mieux comprendre la terminologie utilisée dans la présente politique.
Donnée à caractère personnel | Toute information se rapportant à une personne physique identifiée ou identifiable, indépendamment de sa nationalité ou de son lieu de résidence ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom patronymique, une date de naissance, un numéro d’identification, des données de localisation, un identifiant en ligne, une adresse email, une donnée biométrique (empreinte digitale), un badge ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; |
Données RH | Toute donnée à caractère personnel se rapportant aux travailleurs s’entendant comme les employés, ouvriers, candidats (spontanés ou non), stagiaires, travailleurs temporaires/intérimaires et étudiants d’une filiale du groupe AF ; |
Données sensibles | Données à caractère personnel qui méritent un niveau de protection plus élevé car leur traitement peut entraîner des risques significatifs, soit l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement de données génétiques, de données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique, des données relatives aux condamnations pénales et aux infractions ; |
Traitement | Toute opération effectuée ou non à l’aide de procédés automatisés (pour des traitements « papier » non automatisés, le GDPR ne s’applique que si les données figurent dans un Fichier) et appliquée à des données à caractère personnel, telle que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, l’effacement ou la suppression ; |
Fichier | Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ; |
Personne concernée | Personne physique dont les données à caractère personnel sont traitées ; |
Responsable du traitement | La personne morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement (« Data Controller ») ; cette notion est autonome et fonctionnelle, car elle vise à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle repose par conséquent sur une analyse factuelle plutôt que formelle ; |
AF | Groupe AF Compressors comprenant la Holding et ses Filiales ; |
Filiale | Toute société ou entité juridique entièrement consolidée et contrôlée par MOTEURS et FRANCOIS S.A., ci-après la « holding », sise à 4000 LIEGE (BELGIUM), Rue Côte d’Or, 274 et inscrite à la Banque-Carrefour des Entreprises sous le numéro 0425.662.229 ou mise en équivalence en termes de comptes annuels ; |
Sous-traitant | La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (« Data Processor » – outsourcing) et sur instruction de ce dernier, soit un prestataire de services (ex : secrétariat social, transporteur, cloud provider, …) ; |
Sous-traitants AF | La S.A. COMPRESSOR SPARE PARTS (ci-après « CSP »), sise à 4432 ALLEUR (BELGIUM), Rue du Parc, 10 (BCE : 0430.117.695), fournissant au Groupe AF un service après-vente au niveau international, et les agents (personnes physiques ou morales ; commerciaux, distributeurs et/ou prestataires de services) liés au core business du Groupe ; |
ERP | « Enterprise Resource Planning », aussi appelé Progiciel de Gestion Intégré (PGI), est une application dont le but est de coordonner l’ensemble des activités d’une entreprise (activités dites verticales telles que la production, l’approvisionnement ou bien horizontales comme le marketing, les forces de vente, la gestion des ressources humaines, la gestion comptable et financière, etc.) autour d’un même système d’information ; |
Exportateur de données | Désigne toute filiale située au sein de l’UE et traitant des données à caractère personnel étant ensuite transférées ou mises à disposition d’une filiale hors UE ; |
Importateur de données | Désigne tout filiale hors UE traitant des données à caractère personnel, ces données ayant été transférées ou mises à disposition par une filiale sise dans l’UE ; |
APD | Autorité de protection des données qui a succédé le 25.05.2018 à la Commission de la protection de la vie privée (CPVP) en tant qu’autorité de contrôle au sens du GDPR – Autorité de contrôle belge (www.autoriteprotectiondonnees.be ) ; |
4. Responsables du traitement (UE) et point de contact pour la protection des données à caractère personnel
4.1. Les responsables de traitement se composent des différentes filiales du groupe AF sises au sein de l’Union Européenne qui seront responsables de leur conformité à la présente politique, soit :
S.A. ATELIERS FRANCOIS, sise à 4000 LIEGE (BELGIUM), Rue Côte d’Or, 274 (BCE : 0403.953.332)
S.A. AF INTERNATIONAL, sise à L-9991 WEISWAMPACH (LUXEMBOURG), Gruuss Strooss 25 (RC B97177)
S.A. AF BELGIUM, sise à 1420 BRAINE-L’ALLEUD (BELGIUM), Chaussée de Tubize 485 F (BCE 0420.052.857)
S.A. TRADEWARE, sise à 1435 MONT-SAINT-GUIBERT (BELGIUM), Rue du Fond Cattelain, 2 (BCE 0447.647.179)
SARL ATELIERS FRANCOIS FRANCE, sise à 13008 MARSEILLE (FRANCE), Rue du Rouet, 69 (RCS 421.296.039 – SIRET 421 296 039 00017)
AF POLSKA sp ZOO G, sise à 41800 ZABRZE (Pologne), Ul. Jana Galla, 29 (NIP 6511672695)
Chaque filiale est réputée responsable de traitement de ses données RH.
Pour les données à caractère personnel non RH, la holding, agissant en tant que « Propriétaire de l’activité » et/ou à tout le moins comme gestionnaire du système ERP du Groupe AF (à l’exception d’AF POLSKA qui n’a pas d’accès à l’ERP), peut être considérée comme responsable de traitement et tiendra donc les registres des activités de traitement de données à caractère personnel au sein du groupe AF pour les autres finalités que la gestion des ressources humaines, en ce compris pour les données traitées par les Sous-traitants AF établis au sein de l’UE.
4.2. Les activités de base d’AF ne consistant pas en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées et n’impliquant pas un traitement à grande échelle de données sensibles, la désignation d’un délégué à la protection des données (Data Protection Officer ou DPO) n’est pas requise. Le groupe AF n’a donc pas nommé de DPO.
Néanmoins, AF a chargé le responsable de son département juridique d’assurer la mise en œuvre de la législation en matière de protection des données et de la présente politique, avec une mission d’information et de conscientisation des personnes impliquées dans le traitement. Cette personne servira de point de contact avec l’APD et les personnes concernées le cas échéant. Elle est joignable par e-mail (privacy@afcompressors.com ).
5. Principes applicables à la collecte et au traitement des données à caractère personnel
Le GDPR prescrit que les données à caractère personnel doivent être traitées dans le respect des principes de base suivants :
5.1. Licéité – Lawful
Chaque traitement doit reposer sur une des bases juridiques énumérées dans le GDPR. En principe, les données à caractère personnel peuvent uniquement être traitées si :
- la personne concernée donne son consentement ; elle accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ; son consentement doit être libre, spécifique, éclairé (la personne concernée doit savoir qui utilisera quelles données à caractère personnel et pour quelle finalité), univoque, démontrable et doit pouvoir être retiré aussi facilement qu’il a été donné ;
- elles sont traitées dans le cadre de la conclusion ou de l’exécution d’un contrat, ce qui inclut les mesures précontractuelles à condition qu’elles soient exécutées à la demande de la personne concernée ;
- une obligation légale le requiert, ou si
- cela est nécessaire aux fins de l’intérêt légitime poursuivi par le responsable du traitement ou par un tiers (par exemple : partage de données au sein du groupe aux fins d’exécution d’un contrat), à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent.
Il y a néanmoins une interdiction de principe de traitement des données sensibles sous réserve des exceptions limitativement prévues par le GDPR (consentement explicite ; traitement nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ; traitement nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur ; donnée rendue public par la personne concernée ; traitement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ; …).
Il en est de même pour le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ; il ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées.
5.2. Limitation des finalités – Purpose limitation
Le principe de finalité est un fondement crucial du GDPR. AF ne traite des données à caractère personnel que pour des finalités qui ont été définies explicitement au préalable (cf. point 7 ci-dessous).
Trois possibilités existent néanmoins si AF souhaite quand même traiter des données à caractère personnel pour une finalité qui diverge de celle pour laquelle elle avait initialement traité ces données :
- Consentement distinct : AF peut demander le consentement de la personne concernée afin de traiter les données à caractère personnel pour cette nouvelle finalité. Ce consentement constituera la (nouvelle) base juridique du traitement pour cette nouvelle finalité ;
- Obligation légale: le traitement ultérieur de données à caractère personnel découle d’une obligation légale ;
- Compatibilité : AF doit évaluer si la nouvelle finalité est compatible avec les finalités pour lesquelles les données ont été obtenues initialement. Si tel est le cas, le traitement repose sur la base juridique qui lui a permis d’obtenir et de traiter initialement les données.
5.3. Loyauté et transparence – Transparency
En tant que responsable de traitement, AF entend mener une communication proactive de manière à ce que les personnes concernées sachent qui traite quelles données à caractère personnel, pour quelles raisons et à qui elles peuvent s’adresser en cas de problème (cf. points 6.1. et 18). La présente politique se veut à cet égard claire, compréhensible et aisément accessible. Elle est publiée sur les sites internet du groupe (https://www.afcompressors.com et http://www.af-belgium.be ) et une copie sera mise à disposition sur demande sous format papier ou par voie électronique.
5.4. Minimisation des données – Data minimisation – « Less is more »
La collecte et le traitement de données à caractère personnel se limite à ce qui est nécessaire et pertinent pour réaliser les finalités envisagées.
5.5. Exactitude – Accuracy
Les données à caractère personnel doivent être exactes et actuelles. Dès qu’AF a connaissance du caractère erroné ou dépassé des données à caractère personnel qu’elle traite, elle les actualise, les rectifie ou les efface. La personne concernée dispose d’ailleurs également d’un droit de rectification de ses données à caractère personnel.
5.6. Limitation de la conservation – Storage limitation
Les données à caractère personnel sont conservées aussi longtemps que la finalité pour laquelle elles ont été collectées et sont traitées perdure, et ce en tenant compte des délais de conservation légaux.
5.7. Intégrité et confidentialité – Integrity & Confidentiality
AF adopte les mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données à caractère personnel, ce qui inclut leur protection contre les traitements non autorisés ou illicites et contre leur perte, leur destruction ou les dégâts d’origine accidentelle.
Ces mesures s’appliquent à l’accès physique aux données à caractère personnel, à l’accès à ces données par des ordinateurs, serveurs, réseaux ou autre matériel informatique, applications logicielles et bases de données. Outre les mesures techniques et organisationnelles, les travailleurs qui, dans l’exercice de leur fonction, ont accès à des données à caractère personnel, sont sensibilisés à l’importance de la protection des données à caractère personnel et tenus de respecter diverses obligations visant à garantir leur confidentialité et leur intégrité.
AF met en place des droits d’accès pour que les travailleurs aient uniquement accès aux données dont ils ont besoin dans l’exercice de leur fonction. Les travailleurs qui ont accès aux données à caractère personnel sont liés par une clause de confidentialité dans le cadre de leur contrat de travail.
AF veille à ce que les sociétés du groupe et tiers avec qui elle contracte et qui reçoivent des données à caractère personnel de l’organisation appliquent la législation en matière de protection des données.
5.8. Responsabilité – Accountability
AF entend assurer la mise en conformité de ses différentes entités avec le GDPR. Elle veille à réaliser des audits pour s’en assurer, à informer son mangement et ses travailleurs, à conscientiser et former le personnel impliqué dans le traitement, à tenir les registres de traitement ad hoc, à mettre en place des procédures à respecter pour le traitement des données visées et des éventuelles plaintes des personnes concernées.
6. Les droits des personnes protégées par le GDPR
Le GDPR prévoit que les personnes concernées disposent des droits suivants : droit à l’information, droit d’accès, droit de rectification, droit à l’effacement, droit à la limitation du traitement, droit d’opposition, droit à la portabilité et droit de ne pas faire l’objet d’une décision individuelle automatisée.
Les personnes concernées exercent ces droits à l’égard du responsable du traitement.
Par la présente politique, AF tente déjà de fournir autant d’informations que possible aux personnes concernées afin de faire preuve de la plus grande transparence en matière de traitement des données à caractère personnel.
AF comprend également l’importance des droits qu’elle s’engage à respecter, qui sont décrits plus en détail dans la suite de la présente politique, afin que les personnes concernées puissent continuer d’exercer un contrôle suffisant sur le traitement de leurs données à caractère personnel.
6.1. Droit à l’information / Obligation d’informer
Chaque personne concernée a droit à certaines informations lorsqu’AF traite des données la concernant.
1/ Quelles informations ?
- les finalités et la base juridique du traitement ;
- les données d’identité et de contact du responsable du traitement ;
- les destinataires ou les catégories de destinataires des données ;
- lors de transferts en dehors de l’Union Européenne, l’existence d’une décision d’adéquation ou de garanties appropriées ;
- des explications sur l’intérêt légitime du responsable du traitement si le traitement repose sur cette base juridique ;
- les catégories de données traitées ;
- le délai de conservation ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer ce délai ;
- le droit d’accès, d’effacement, de rectification, de limitation, d’opposition et le droit à la portabilité ;
- le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
- si le traitement se fonde sur le consentement, le droit de retirer son consentement à tout moment ;
- si la personne concernée est obligée de fournir les données à caractère personnel (par la loi ou par un contrat) et quelles sont les conséquences en cas de refus de fournir ces données ;
- la source des données (en cas de collecte indirecte) ;
- si elle existe, l’existence d’une prise de décision automatisée, ce qui n’est pas du tout le cas au sein du groupe AF.
2/ Quand ces informations doivent-elles être fournies ?
En cas de collecte directe, AF communique ces informations au moment de la collecte des données à caractère personnel.
Si la personne concernée dispose déjà de toutes les informations, AF ne l’informera pas inutilement du traitement de ses données à caractère personnel.
Lors de toute modification ultérieure apportée au traitement, AF en informera la personne concernée à l’avance de manière à ce que cette dernière dispose d’un délai raisonnable pour en apprécier l’impact et exercer ses droits.
3/ Comment les informations doivent-elles être communiquées ?
Les informations susvisées sont communiquées dans le cadre de la présente politique de manière à trouver un équilibre entre concision et précision et sont structurées de manière à être facilement lisibles.
6.2. Droit d’accès
Le droit d’accès permet à la personne concernée de contrôler la licéité de chaque activité de traitement. Il comporte trois volets :
- la personne concernée a le droit de savoir si AF traite ou non ses données à caractère personnel ;
- si oui, la personne concernée a le droit d’obtenir les informations mentionnées ci-dessus (cf. point 6.1.1/) ;
- la personne concernée a le droit d’obtenir gratuitement une copie de ses données à caractère personnel qu’AF traite (dans un format électronique d’usage courant ou sur papier) avec, le cas échéant, une note explicative du traitement.
6.3. Droit de rectification
La personne concernée a le droit de rectifier des données inexactes ou de compléter des données incomplètes, y compris en fournissant une déclaration complémentaire. Si AF a transmis ces données à caractère personnel à des tiers, elle doit les informer de la rectification qui a été apportée.
6.4. Droit à l’effacement des données (droit à l’oubli)
Une personne concernée peut exiger qu’AF efface des données à caractère personnel pour lesquelles il n’y a plus de motif fondé de les traiter.
Le droit d’effacer des données n’est cependant pas absolu. La personne concernée ne peut essentiellement exercer ce droit que dans les cas suivants :
- les données à caractère personnel ne sont plus nécessaires à la réalisation de la finalité poursuivie ;
- AF traite les données à caractère personnel de manière illicite ;
- AF doit effacer les données à caractère personnel en raison d’une obligation légale ;
- la personne concernée retire son consentement et le traitement n’a pas d’autre base juridique ;
- après l’exercice réussi du droit d’opposition ;
- (…).
AF peut également refuser d’effacer les données à caractère personnel lorsque le traitement est notamment nécessaire pour la constatation, l’exercice ou la défense d’un droit en justice ou le respect d’une obligation légale à laquelle elle est soumise.
6.5. Droit à la limitation du traitement
Dans certaines circonstances, la personne concernée peut exiger une « limitation » du traitement de données. La limitation gèle le traitement de données. Le cas échéant, AF pourrait encore uniquement conserver les données à caractère personnel mais devrait cesser toutes les autres activités de traitement.
Ce sera le cas lorsque :
- elle conteste l’exactitude des données à caractère personnel, et ce pendant une durée permettant à AF de vérifier l’exactitude des données à caractère personnel ;
- le traitement est illicite : plutôt que l’effacement des données, la personne concernée peut demander la limitation de l’utilisation des données à caractère personnel ;
- AF n’a plus besoin des données à caractère personnel mais celles-ci sont encore nécessaires à la personne concernée pour l’exercice d’un droit en justice ;
- la personne concernée exerce son droit d’opposition ; la limitation s’applique le temps de vérifier si les motifs légitimes poursuivis par AF prévalent sur ceux de la personne concernée.
Si la personne concernée exerce son droit à la limitation avec succès, AF ne pourra plus utiliser les données qu’avec le consentement de la personne concernée ou pour intenter une action en justice.
6.6. Droit d’opposition
Chaque personne concernée peut s’opposer au traitement de données à caractère personnel la concernant « pour des raisons tenant à sa situation particulière ». Le droit d’opposition peut exclusivement être exercé si la base juridique du traitement repose sur « l’intérêt légitime ».
Dans les autres cas, la personne concernée ne peut pas s’opposer car il existe pour les autres bases juridiques des alternatives pour atteindre la même finalité : en cas de consentement, la personne concernée peut le retirer ; la personne concernée ne peut par ailleurs pas s’opposer au traitement imposé par la loi.
L’exercice du droit d’opposition contraindrait AF à procéder à une mise en balance des intérêts. Elle devra cesser tout traitement de ces données à moins qu’elle puisse avancer des motifs impérieux qui prévalent sur les droits et libertés de la personne concernée. AF devra alors documenter et communiquer ces motifs à la personne concernée.
6.7. Droit à la portabilité des données
Celui-ci permet à la personne concernée d’obtenir ses données à caractère personnel et de les réutiliser pour d’autres services. La personne concernée peut déplacer ses données d’un environnement IT vers un autre.
Néanmoins, le droit à la portabilité des données peut uniquement être exercé lorsque trois conditions sont remplies simultanément :
- le traitement a lieu sur la base du consentement ou d’un contrat ;
- il s’agit d’un traitement automatisé (donc pas de documents papier) ; et
- la personne concernée fournit elle-même les données [cela signifie que ce droit concerne uniquement les données à caractère personnel que la personne concernée a elle-même fournies consciemment (par ex. : lors d’un enregistrement, encodage par elle-même de ses nom, adresse, E-mail, etc.) ou que l’entreprise observe sur la base du comportement de la personne concernée (par ex. : les accessoires connectés)].
La personne concernée a donc le droit d’obtenir ses données à caractère dans un format structuré, couramment utilisé et lisible et de faire directement transférer ses données à caractère personnel vers un autre responsable du traitement.
6.8. Droit de ne pas faire l’objet d’une décision individuelle automatisée
Une personne concernée ne peut pas faire l’objet d’une décision entièrement automatique (sans intervention humaine) qui l’affecte de manière significative ou qui a des effets juridiques, système employé notamment dans le « profilage ».
6.9. Procédure concernant l’exercice des droits et autres dispositions
La personne concernée peut exercer ses droits en envoyant un e-mail au responsable du département juridique d’AF (privacy@afcompressors.com) ou en accédant au processus de demande en cliquant ici. AF peut demander à celle-ci de s’identifier afin de s’assurer que l’exercice effectif des droits est demandé par la personne concernée elle-même.
En principe, AF donnera suite à la demande de la personne intéressée dans un délai d’un mois. À défaut, AF informera la personne concernée des motifs de son inaction ou du retard dans le suivi de la demande.
AF consent les efforts nécessaires pour informer les destinataires des données à caractère personnel de la personne concernée que cette dernière exerce son droit de correction, d’effacement ou de limitation du traitement.
La personne concernée peut également introduire une plainte auprès de l’APD (www.autoriteprotectiondonnees.be).
7. Les activités de traitement des données à caractère personnel
AF fabrique et commercialise en B to B elle-même ou par l’intermédiaire de filiales spécialisées une large gamme de compresseurs d’air à pistons sans huile, de sa propre conception et avec son propre savoir-faire, sous sa marque AF, avec leurs accessoires et pièces de rechange, directement aux utilisateurs du monde entier (PET et OPC) ou aux fabricants de lignes d’embouteillage PET.
Elle distribue également, via sa filiale AF BELGIUM, des compresseurs à palettes, à vis ou à piston qui couvrent l’ensemble des besoins en air comprimé, du petit compresseur pour garage aux grosses installations pharmaceutiques ou pétrochimiques, en passant par des solutions d’air respirable ou d’azote.
Dans le cadre de ses activités, elle offre également des services après-vente (SAV) de maintenance, de réparation, …
AF agit donc en qualité de responsable de traitement pour chacune de ses activités impliquant des traitements de données personnelles, de la collecte de ses données clients au suivi de la relation commerciale.
AF ne traite donc des données à caractère personnel que pour les finalités suivantes :
1/ Ressources humaines (chaque filiale étant considérée comme responsable du traitement des données y afférentes) :
- Administration des salaires et autres rémunérations en lien avec le contrat de travail : application de la législation sociale ; échanges avec les créanciers fisco-sociaux et saisissants ;
- Gestion du personnel : planification du travail, organisation du travail et des déplacements (en ce compris l’obtention de VISA pour des séjours professionnels à l’étranger), planification de la formation et de la carrière, encodage des prestations et gestion des absences et congés ; gestion des intermédiaires ;
- Contrôle du personnel : contrôle de l’utilisation des moyens de communication, contrôle du temps de travail et de l’activité professionnelle sur le lieu de travail, contrôle des prestations ;
- Recrutement : gestion des candidatures spontanées, constitution d’une réserve de recrutement ;
2/ Service ventes (départements PET et OPC) et SAV : gestion de la clientèle existante, en ce compris la phase précontractuelle, soit la gestion des commandes et demandes de prestations de services, des livraisons, des offres et facturations ;
3/ Service achats : gestion des fournisseurs, prospection de fournisseurs potentiels, évaluation des fournisseurs ;
4/ Logistique : gestion des transporteurs et des formalités d’import/export ;
5/ Marketing direct : marketing personnalisé à l’égard de la clientèle existante (proposition d’upgrades notamment) et prospection à l’égard de tiers en B to B (départements PET et OPC) ;
6/ Comptabilité : traitement des aspects financiers des activités ;
7/ Sécurité & Contrôle des accès : contrôle de l’accès au bâtiment, sécurisation, registre des visiteurs, caméras de surveillance ;
8/ Administration des actionnaires : administration, paiement des avantages financiers et autres en lien avec le statut ;
9/ Gestion des filiales et agents : administration, gestion des communications intragroupes ;
10/ IT / Communication (dont gestion site internet) : gestion et contrôle des moyens de communication ; gestion des fournisseurs propres à l’IT ; mise en place des systèmes de protection techniques pour garantir la sécurité et la confidentialité des données.
8. Catégories de personnes concernées
La présente politique porte sur le traitement par AF de données à caractère personnel de diverses catégories de personnes directement identifiables, notamment les travailleurs sous contrat de travail et les candidats (spontanés) ; les personnes de contact (personnes physiques) référencées pour les clients, fournisseurs, prospects et fournisseurs potentiels; les utilisateurs du site web ; les visiteurs sur site ; les actionnaires, les administrateurs, directeurs et fondés de pouvoirs ; les gestionnaires des filiales et des agents.
9. Catégories de données à caractère personnel
1.1./ Pour les travailleurs : : fiche signalétique complétée par chaque travailleur comprenant nom, prénom, copie de la carte d’identité et du passeport, adresse, âge, sexe, téléphone, adresse e-mail, numéro de compte bancaire, numéro de registre national / numéro de sécurité sociale, état civil, statut du conjoint, nombre de personnes à charge en sus de la rémunération (composantes du salaire, la hauteur, le paiement et l’évolution du salaire), du contrat de travail, des présences et absences (certificats médicaux éventuels) / congés, des moyens mis à disposition par l’employeur (voiture de société, ordinateur portable, gsm), des données concernant l’utilisation de ces moyens et le contrôle des e-mails et de l’utilisation d’internet, des évaluations des prestations et des feedbacks des travailleurs, des curricula vitae et autres données exigées au regard du statut de chargeur connu dans le chef d’AF, en sus de tous les autres aspects légaux, réglementaires et conventionnels d’une administration du personnel qui ont par ex. également trait à l’assurance accidents du travail, la médecine du travail, le contrôle médical de l’incapacité de travail ; carnet de vaccination ; caméras visées par la CCT n° 68 destinées à garantir la sécurité et le contrôle du processus de production et des machines et la protection des biens de l’entreprises ; coordonnées des personnes (membres du ménage ou autres) que l’employeur peut contacter en cas d’urgences.
1.2./ Pour les candidats spontanés et profils constituant la réserve de recrutement : les curricula vitae reprenant les données communiquées d’initiative par le candidat et suivant sa propre présentation ;
2./ Pour les clients, fournisseurs, prospects et fournisseurs potentiels et les utilisateurs du site web : nom, prénom, numéro de téléphone professionnel (gsm et/ou fixe), fonction au sein de l’entreprise, adresse postale et/ou adresse e-mail des personnes physiques de contact au sein de ces sociétés personnes morales collectées auprès des personnes concernées elles-mêmes via :
- Fiches signalétiques clients / fournisseurs (supplier registration form / customer registration form) ;
- Cartes de visites remise à AF notamment sur des foires commerciales ;
- « Quotation forms » remplis sur le site internet du Groupe ;
- Autres interactions directes avec vous : échanges par téléphone, courrier, courriel ou autre.
3./ Pour les visiteurs : nom, prénom, société dont il fait partie, date de visite, personne visitée, heure de visite (heure d’entrée et heure de sortie) et véhicule tels que repris manuscritement par le visiteur lui-même sur le registre des visiteurs à l’entrée des bâtiments des différentes entités ; caméras de surveillance visées par la loi belge du 21 mars 2007 réglant l’installation et l’utilisation de caméras de surveillance (modifiée par une loi du 21 mars 2018) ;
4./ Pour les actionnaires, administrateurs, directeurs et fondés de pouvoirs : nom, prénom, copie de la carte d’identité, adresse, téléphone, numéro de compte bancaire, numéro national ;
5./ Pour les gestionnaires des filiales et des agents : nom, prénom, numéro de téléphone professionnel (gsm et/ou fixe) et adresse e-mail des personnes physiques de contact.
10. Les fondements juridiques des traitements
1./ Pour les travailleurs et candidats :
Catégories de données | Fondement juridique | Raison du traitement |
Curriculum vitae |
|
|
Données d’identification | Exécution d’un contrat de travail et obligation légale | Assurer l’exécution du contrat de travail et assurer le respect des obligations légales fisco-sociales ; gestion des assurances (dont l’assurance groupe) |
Données financières | Exécution d’un contrat de travail |
|
Vérification du temps de travail et encodage des absences et congés | Obligation légale, exécution du contrat de travail, intérêt légitime de l’entreprise | Obligation légale, assurer le traitement de la paie et le fonctionnement de l’entreprise, contrôler la durée du travail, … |
Contrôle d’accès par badge et identification de sécurité | Intérêt légitime Obligation légale en tant que chargeur connu |
|
Évaluation ou constatation d’un manquement | Exécution du contrat et intérêt légitime de l’entreprise et de la personne concernée | Assurer le fonctionnement de l’entreprise, contrôler le travail et le respect des procédures de travail, intervenir à temps en cas de manquement de la part de la personne concernée, contribuer au développement personnel et professionnel de la personne concernée, … |
Données concernant l’utilisation des moyens mis à disposition par l’employeur (voiture de société, ordinateur portable, gsm) | Exécution du contrat et intérêt légitime de l’entreprise | Assurer la sécurité des travailleurs, protéger les véhicules et leur chargement, optimaliser les déplacements professionnels, assurer un suivi, contrôler le travail en l’absence d’autres moyens |
Vidéosurveillance | Exécution du contrat et intérêt légitime de l’entreprise (CCT n° 68) | Garantir la sécurité et santé de la personne concernée, protéger des biens de l’entreprise, contrôler le processus de production |
Contrôle des e-mails et de l’utilisation d’internet | Exécution du contrat et intérêt légitime de l’entreprise |
|
Santé | Nécessaire pour remplir des obligations liées au droit du travail ou à la sécurité sociale |
|
Taille et pointure | Exécution du contrat | Fourniture des vêtements de travail adaptés |
Données sollicitées par les ambassades | Exécution du contrat Intérêt légitime |
organisation du travail et des déplacements (en ce compris l’obtention de VISA pour des séjours professionnels à l’étranger) |
Coordonnées de personnes de contact | Sauvegarde des intérêts vitaux de la personne concernée | En cas d’urgence (ex : accident de travail ou urgence médicale) |
2./ Pour les clients, fournisseurs, prospects et fournisseurs potentiels et les utilisateurs du site web :
Catégories de données | Fondement juridique | Raison du traitement |
coordonnées de personnes physiques de contact |
|
|
Cartes de visite ou listing d’adresses mails de personnes physiques de contact de prospects B to B |
|
|
3./ Pour les visiteurs :
Catégories de données | Fondement juridique | Raison du traitement |
coordonnées de personnes physiques de contact visiteurs + heure de visite et personne visitée |
|
|
Caméras de surveillance (lieu fermé non accessible au public et destiné uniquement à l’usage des utilisateurs habituels ou des visiteurs occasionnels) | Intérêt légitime Loi du 21 mars 2007 réglant l’installation et l’utilisation de caméras de surveillance (modifiée par une loi du 21 mars 2018) |
|
4./ Pour les actionnaires, administrateurs, directeurs et fondés de pouvoirs :
Catégories de données | Fondement juridique | Raison du traitement |
Coordonnées |
|
|
5./ Pour les gestionnaires des filiales et des agents :
Catégories de données | Fondement juridique | Raison du traitement |
coordonnées de personnes physiques de contact |
|
|
11. Conséquences en cas de refus de communication de ces données
1./ Pour les travailleurs et candidats : rejet de la candidature, pas de traitement du salaire, évaluation négative et/ou lettre d’avertissement et/ou licenciement, non-respect des obligations légales, impossibilité d’accès au bâtiment / à certaines zones, … ;
2./ Pour les clients, fournisseurs, prospects et fournisseurs potentiels et les utilisateurs du site web : difficultés et/ou risques d’erreur dans l’exécution du contrat ou même impossibilité d’exécution du contrat imputables au contractant d’AF, échanges avec les mauvais interlocuteurs qui peuvent être source d’erreurs imputables au contractant d’AF, défaut d’information quant aux évolutions des produits, perte de temps, perte de chance de contracter, impossibilité de répondre aux demandes d’informations, …
3./ Pour les visiteurs : refus d’accès au site visité ;
4./ Pour les actionnaires, administrateurs, directeurs et fondés de pouvoirs : non convocation et non versement de dividende pour les uns ; non-nomination, non-renouvellement de mandat ou non-délégation de pouvoir pour les autres ;
5./ Pour les gestionnaires des filiales et des agents : difficultés d’exécution du contrat ou même inexécution du contrat imputables au partenaire d’AF, échanges avec les mauvais interlocuteurs qui peuvent être source d’erreurs, de perte de temps ou même de contrat pour AF, défaut d’information, …
12. Catégories de destinataires
Les données RH traitées par chacune des filiales et par CSP, en leurs qualités de responsable de traitement pour ces données, sont transférées à la S.A. AF INTERNATIONAL qui sert d’intermédiaire (et donc de sous-traitant) entre elles et les secrétariats sociaux ainsi que les administrations fisco-sociales.
Si une personne postule à un emploi ou demande des renseignements sur un poste à pourvoir – que cet emploi ou ce poste ait fait l’objet d’une annonce sur le site Web AF ou dans un autre contexte -, elle pourra être amenée à fournir des informations personnelles, notamment un curriculum vitae, qui pourront être utilisées au sein du Groupe AF, en ce compris partagées avec les Sous-traitants AF, afin d’étudier la candidature ou de répondre à la demande de renseignements.
Les coordonnées professionnelles des travailleurs, gestionnaires de filiales, agents et collaborateurs indépendants (uniquement nom, prénom, adresse mail et numéro de téléphone professionnels des personnes ressources-clés) peuvent être communiquées au sein du Groupe ou (notamment sur le site internet du Groupe) à l’attention de tiers (clients, prospects, agents, filiales, fournisseurs,…) parce que ces personnes occupent une fonction qui justifie leur mise en relation avec ces derniers afin de permettre au groupe AF de contracter ou d’exécuter un contrat, et ce dans l’intérêt économique de l’entreprise et donc indirectement dans l’intérêt de la personne concernée, cette communication s’inscrivant dans le cadre de la simple exécution du contrat qui lie la personne concernée à l’entreprise.
Les données concernant les clients, les fournisseurs et les gestionnaires des filiales et des agents sont collectées via le système ERP du Groupe AF, accessibles au sein des différentes filiales du Groupe sises dans l’UE (sauf à partir d’AF Polska) et de CSP, sous forme de fiches signalétiques.
Les données concernant les prospects et fournisseurs potentiels et les utilisateurs du site web sont recueillies par les responsables de départements répartis au sein des différentes filiales et ne sont encodées et donc conservées dans l’ERP que dans le cadre d’une phase précontractuelle ou de l’exécution d’un contrat.
AF Polska et TRADEWARE ont quant à elles leurs propres logiciels de gestion.
Les données afférentes aux actionnaires ne sont traitées que par les administrateurs de la maison-mère et des filiales.
Quant aux données visiteurs, elles sont uniquement collectées par la filiale ou le Sous-traitant AF dont l’accès au site a été autorisé à la personne concernée.
13. Transfert des données vers les pays en dehors de l’Union européenne
La présence internationale d’AF implique certains transferts de données entre différentes filiales, ainsi qu’aux tiers situés dans les pays où le groupe exerce ses activités.
Pour l’exécution de ses contrats, AF (exportateur de données) met à disposition de certaines de ses filiales importatrices de données (AF South Africa, AF Shanghai, François Compressors India et AF Compressors do Brazil), un accès sécurisé et personnalisé à son système ERP, et ce à un nombre limité et défini de personnes.
Les autres filiales et agents AF au sein de l’UE et hors UE (repris ici https://www.afcompressors.com/our-presence/) peuvent, toujours aux fins d’exécution de contrats définis, avoir connaissance des coordonnées des personnes physiques ressources au sein des clients ou fournisseurs B to B.
Ces accès / transferts ne sont autorisés que dans la mesure où lesdites filiales et agents, agissant en qualité de sous-traitants, offrent des garanties appropriées supplémentaires de manière à assurer un niveau de protection similaire.
En effet, lorsque AF transfert des données personnelles en dehors de l’UE, à destination d’un pays ne figurant pas sur la liste de la Commission européenne comme présentant un niveau de protection adéquat, les transferts sont opérés et encadrés par des dispositions contractuelles répondant aux exigences de l’UE, notamment par la signature d’un contrat conforme aux clauses contractuelles types adoptées par la Commission Européenne. Les clauses contractuelles types de la Commission Européenne sont disponibles ici (lien : https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_fr ).
AF reste néanmoins le responsable de traitement, garantit la sécurité des données à caractère personnel visées et veille à ce que les personnes concernées puissent exercer leurs droits, même si celles-ci sont utilisées par des personnes sises dans un pays ayant un autre type de législation en matière de protection de la vie privée.
14. Sous-traitant et responsables de traitement
AF pourra être amenée à partager des informations avec d’autres entités, par exemple des partenaires commerciaux (dont les Sous-traitants AF visés au point 3), des organismes financiers, des entreprises de transport, des services postaux ou des administrations comme les douanes, des organismes publics tels que l’ONSS, le SPF Emploi, le SPF Finances, l’Inspection des lois sociales, des secrétariats sociaux, des compagnies d’assurance (en ce compris l’assurance de groupe), des sociétés de leasing, des cloud providers, le gestionnaire et l’hébergeur du site internet, des ambassades, … qui jouent un rôle de sous-traitant ou de responsable distinct dans le traitement de des données collectées par AF.
Lorsque les entités réceptrices traitent des données à caractère personnel pour le compte et sur instruction d’AF, elles sont considérées comme sous-traitants.
Le respect des obligations qui leur est imposé en cette qualité de sous-traitant relève de leur responsabilité. AF sollicite donc de ceux-ci qu’ils lui communiquent un détail des mesures prises par eux pour respecter le GDPR et veille à l’adaptation de ses contrats conformément aux exigences du Règlement et de la présente politique.
Pour l’exécution de ses contrats, AF mettant à disposition de son Sous-traitant CSP un accès sécurisé et personnalisé à son système ERP, ce-dernier s’engage également à respecter la présente politique qu’il fait sienne.
Lorsque qu’il y a un échange de données entre AF et une entité réceptrice, sans partage des finalités ou des moyens, il doit être considéré uniquement comme un transfert de données entre des responsables distincts.
C’est le cas notamment pour les échanges avec les administrations fisco-sociales et les compagnies d’assurance.
15. Durée de conservation des données
AF conserve les données à caractère personnel visées par la présente politique aussi longtemps que nécessaire aux fins pour lesquelles celles-ci sont traitées, notamment au regard des obligations légales qui lui incombent mais également de la durée de vie des compresseurs qui ont été vendus aux clients référencés (nécessité de pouvoir assurer les maintenances et réparations au regard de l’historique de chaque compresseur, de pouvoir solliciter les fournisseurs des pièces des différents compresseurs toujours en activité, d’interpeller au besoin les différents intervenants qui ont déjà travaillé sur un compresseur donné,…).
16. Mesures de sécurité techniques et organisationnelles
AF a pris des mesures techniques et organisationnelles appropriées pour garantir la sécurisation des données à caractère personnel contre un accès ou un traitement non autorisé, leur perte ou des dégâts.
AF prend donc les mesures suivantes à cette fin : sensibilisation de son personnel sur l’importance du GDPR et son contenu (et mise en place d’une IT Policy que chaque filiale et sous-traitant AF s’engage à suivre), désignation d’un responsable en sécurité, vérification périodique de la sécurisation des données (audit de sécurité), utilisation d’un logiciel anti-virus & anti-ransomware à jour, réalisation régulière de back-up, utilisation de firewall, mise en place d’un système d’accès avec autorisation pour accéder aux données personnelles, cryptage des données, système de surveillance et monitoring, serveurs et réseaux, plan de reprise après sinistre.
Le Groupe AF fournit un service de Backup Cloud à ses filiales internationales aux fins exclusives de maîtrise de la sécurité des données avec accès exclusif au service IT du groupe.
17. Portée de la présente politique
La présente Privacy Policy est d’application depuis le 25 mai 2018, date d’entrée en vigueur du GDPR.
Elle est consultable via les sites internet du groupe AF :
Une copie peut être mise à disposition sur demande sous format papier ou par voie électronique.
AF peut le cas échéant modifier et mettre à jour la présente politique pour s’assurer de sa conformité à la réalité de ses activités.
La présente politique peut également être mise à jour pour refléter des modifications légales, techniques ou des développements commerciaux du groupe. Le cas échéant, la version actualisée sera disponible sur notre site Web.
Vous pouvez connaître la date à laquelle la présente politique a été actualisée en vérifiant la « date de dernière mise à jour » indiquée ci-dessous.
18. Contact – Privacy Manager
Si vous avez des questions ou des demandes concernant la politique de protection des données à caractère personnel ou le traitement de vos données par AF, vous pouvez les adresser par e-mail (privacy@afcompressors.com) ou écrire à l’adresse ci-dessous :
AF COMPRESSORS
c/o Privacy Manager
Rue Côte d’Or, 274
4000 LIEGE
BELGIQUE
Dernière mise à jour : 05.12.2018