En
quoi consistent les données personnelles détenues
par la sprl Aster Communication graphique ?
ll
ne s'agit que des nom, prénom, fonction, email, adresse
légale de l'entreprise et numéro de téléphone
professionnel (et gsm s'il est communiqué ou s'il figure
dans la signature des e-mails) des personnes ayant été
en relation commerciale avec la sprl ACG. Pour les contacts
téléphoniques, ces données comportent parfois
une photographie du visage, trouvée sur Internet, afin
de personnaliser et d'humaniser la communication (mettre une
image sur une voix). Dans le cas d'une commande de livres par
mail ou via un achat bancaire (B2C), les données peuvent
inclure l'adresse du domicile et le numéro de téléphone
privé dans la mesure où ces éléments
ont été communiqués pour concrétiser
l'expédition d'une commande de livres.
NB. Utilisation de codes couleurs. En cas de non-paiement d'une
facture ou de retard de paiement récurrent, en cas de
non-respect d'obligation contractuelles, de même suite
à un manque de déontologie manifeste ou non-respect
d'un accord oral, même tacite (tel que la commande de
la réalisation d'un travail suite à un accord
informel suivi d'un non-paiement des frais engagés),
la couleur dans laquelle les DP du client concerné sont
mentionnées est le rouge.
Quels types de relations commerciales
sont exclues de l'extraction et du traitement à long
terme des données personnelles ?
Les
clients qui commandent des caricatures à titre personnel.
Leurs données ne sont traitées que pour la facturation.
Comment ces données sont-elles
recueillies ?
Les
données collectées par la sprl Aster Communication
graphique proviennent essentiellement des clients effectifs
(clients historiques et ceux qui me contactent pour me commander
des dessins ou des livres) et des clients potentiels ou prospects
(via demande de devis ou d'information ou suite à un
échange de carte de visite lors d'évènements).
Il peut s'agir de clients potentiels évoqués lors
de relations professionnelles et dont les données de
contact se trouvent sur Internet. Pour les activités
B2C (commande de livres " Mémoires ardennaises "
et demandes de caricatures personnelles), les données
proviennent des clients eux-mêmes afin d'organiser la
livraison des oeuvres. Si des données devaient être
recueillies en dehors d'un contact personnes, les prospects
concernés seraient immédiatement avertis (selon
les mesures prévues à l'art. 14). (Texte
: ©Jean-Philippe
Legrand)
Pourquoi
ces données sont-elles importantes pour la sprl ACG ?
Il
s'agit de DP à caractère commercial destinées
à faciliter le suivi des collaborations effectives ou
potentielle avec les clients existants ou des prospects ayant
manifesté un jour leur intérêt pour les
travaux de la sprl ACG. Dans l'intérêt de ces derniers,
elles permettent de les informer de toute cessation (momentanée)
d'activité ou d'une nouveauté majeure susceptible
de l'intéresser. Elles garantissent à l'auteur
des dessins et des livres dont il est question dans l'objet
social de la sprl ACG la pérennité de son activité,
grâce à une clientèle potentielle suffisamment
étoffée, afin de maintenir la qualité des
collaborations en cours et à venir.
Quels usages sont faits des données personnelles ?
Ces DP sont essentiellement utilisées afin d'assurer
le suivi des collaborations et leur traitement comptable. Elles
permettent d'avertir la clientèle effective et - dans
une moindre mesure, par exemple en cas de relance d'activité
- potentielle (prospects) d'un changement majeur d'orientation
ou de la mise sur le marché de nouveaux services. Il
n'est actuellement pas question de les utiliser dans une lettre
périodique ou du mailing et si cela se produisait, ce
le serait en compliance avec le RGPD. Les DP recueillies dans
le cadre de l'activité éditoriale "Mémoires
ardennaises" peuvent servir à proposer aux acquéreurs
des éditions antérieures de nouveaux ouvrages
sur la même thématique ou dans la même collection.
(Texte : ©Jean-Philippe
Legrand)
Depuis
quand les DP sont-elles collectées systématiquement
dans la licéité du RGPD ?
La
mise en place de la politique RGPD pour la sprl ACG a été
partiellement finalisé le 13 mai 2018. Les données
clients n'ont plus été collectées dans
un esprit de classement et d'archivage organisé depuis
une date antérieure de plusieurs années, à
l'exception des acquisiteurs d'ouvrages aux éditions
"Mémoires ardennaises". L'avertissement systématique
(ou demande de permission) des clients est instaurée
depuis le 6 juin 2019. Le fichier existant, établi depuis
le début de l'activité professionnelle de l'auteur
le 15 août 1999 est en cours d'actualisation et de mise
en conformité, essentiellement pour les relations récentes
(depuis le passage en société en 2008). (Texte
: ©Jean-Philippe
Legrand)
Qui
est le responsable de la gestion des données personnelles
(DP) chez sprl AGC ?
Le
gérant, Jean-Philippe Legrand (Sous Wérimont,
22 - 4970 Stavelot - Belgique), est la seule personne habilitée
à gérer les DP.
Qui
manipule ces DP ?
Seul
le gérant sus-cité collecte, utilise, supprime
ces données. Ces données ne sont ni transmises,
ni échangées.
Droit
d'accès au DP détenues par sprl ACG
N'importe
quel client, prospect ou destinataire a le droit de demander
l'accès à ses propres données détenues
par la sprl ACG (par e-mail, courrier ou téléphone),
de solliciter leur rectification ou d'obtenir leur suppression
définitive, sauf si ces DP sont nécessaires à
des fins légales ou d'obligations comptables. Les autres
mesures en faveur du respect des art. 15, 16 et 17 sont d'application.
En vertu de l'art. 19, l'effacement définitif sera notifié
au destinataire qui en a fait explicitement la demande.(Texte
: ©Jean-Philippe
Legrand)
Combien
de temps les DP sont-elles conservées ?
Etant
donné qu'il n'existe pas de date associée aux
DP collectées avant le 6/6/2019, ni de traitement puissamment
informatisé, aucune période n'a été
définie pour leur suppression automatique après
une période déterminée. Toutefois, la sprl
ACG estime qu'à partir de 15 ans après le dernier
contact commercial, ces données peuvent être définitivement
effacées. Cette mesure s'applique aux données
collectées à partir du 6/6/2019.(Texte
: ©Jean-Philippe
Legrand)
Quels
traitements sont appliqués à vos DP ?
Aucun
traitement particulier, aucune cession, aucun transfert. Seule
une intervention de l'administration peut justifier une ouverture
du listing clients à un tiers. NB : ce listing présente
une nette distinction entre les relations commerciales liées
aux activités graphiques signées "Aster"
(principalement B2B) et les celles liées aux activités
éditoriales des éditions "Mémoires
ardennaises" (B2C). (Texte : ©Jean-Philippe
Legrand)
Comment
s'exerce la responsabilité conjointe ?
La
disposition de l'art. 25 sur la responsabilité conjointe
s'applique concrètement lors l'auteur collabore avec
un partenaire disposant de données personnelles.
- S'il s'agit d'une agence, dans le cadre d'une opération
de dessin en direct ou de commande de dessins, le responsable
du traitement des données de l'agence est tenu de prendre
contact avec nous pour clarifier la procédure, étant
donné que c'est l'agence qui partage ses données.
A défaut, les données de contact des clients finaux
impliqués dans l'opération seront traitées
comme s'il s'agissait de nouveaux clients potentiels : un contact
direct les informera que la sprl ACG dispose des éléments.
Cependant, par éthique commerciale, la sprl ne tentera
pas d'obtenir de développer des échanges commerciaux
en dehors de l'implication de l'agence qui les a mis en contact,
même si la sollicitation provient du client final. Si
la préparation inclut des listes de participants associés
à leurs DP, ces listes ne seront ni conservées,
ni traitées, ni utilisées au-delà de la
période durant laquelle elles auront été
nécessaire, par exemple la journée de l'évènement.
- S'il s'agit d'un collègue (dessinateur, animateur,
artiste quelconque) qui sollicite la sprl ACG ou juste Aster
en tant qu'auteur pour une opération commune, les dispositions
exposées au point précédent sont d'application.
- S'il s'agit d'un collaborateur de la sprl Acg ou d'un sous-traitant
dans le cadre d'une opération commune, le client sera
informé de la transmission des données (avec faculté
de s'y opposer) tandis que ledit collaborateur se verra contraint
de détruire ces données après l'opération
commune
- Si l'échange de données présente des
opportunités commerciales (liste de clients potentiel),
une permission spéciale sera demandée à
leur premier détenteur après avoir vérifié
avec le responsable de la protection des données que
les clients listés ont donné leur accord pour
cet échange. Dans la négative, les données
seront détruites. Si, en revanche, il y va de l'intérêt
des personnes listées (par exemple, l'accès aux
dessins réalisés en direct dans le cadre d'un
évènement ou la transmission de ces dessins, généralement
souhaités par les participants), après accord
du détenteur primordial du listing, le fichier pourra
être utilisé avec les mentions ad hoc pour la conformité
RGPD.(Texte : ©Jean-Philippe
Legrand)
Quelles
garanties doivent offrir les sous-traitants ?
Les
sous-traitants impliqués dans toute opération
mandée par la sprl ACG ont le devoir de se conformer
aux dispositions du RGPD. Les DP devront être détruites
après la durée du contrat, en particulier les
données très personnelles recueillies dans le
cadre de la réalisation de caricatures. Le contrat passé
avec un sous-traitant dans ce cas de figure porte dorénavant
la mention : " En respect du Règlement UE 2016/679
pour la Protection des Données personnelles (RGPD) qui
exige la conformité de toute entreprise EU depuis le
25/5/2018 et en particulier des sous-traitants (art.28), toute
donnée personnelle (selon la définition de l'art.
4) transmise la sprl ACG ou par son client final, ne pourra
être conservée, ni traitée (aux termes de
l'art. 4), ni utilisée au-delà de l'usage strictement
prévu par la mission définie dans nos échanges
et stipulée sur les documents tels que devis et facture.
En d'autres termes, toutes les données devront être
effacées, y compris les données d'identification
du client final qui ne peuvent en aucun cas servir à
des opérations de marketing direct (l'éthique
commerciale recommandant d'ailleurs l'intermédiarité
de la sprl ACG pour toute nouvelle opportunité de collaboration).
Le sous-traitant se doit de prendre toutes les mesures pour
garantir la protection et la confidentialité des données
échangée. "
Un sous-traitant majeur de la sprl ACG est le fournisseur de
solutions Internet OVH. Cette société dispose
d'une approche sérieuse de la protection des données
personnelles. Voir www.ovh.com/fr/protection-donnees-personnelles
(Texte : ©Jean-Philippe
Legrand)
Quelle
est l'autorité de contrôle de la protection des
données en Belgique ?
Il
s'agit de l'APD (www.autoriteprotectiondonnees.be/)
Quelles
mesures techniques sont prises pour la protection des DP ?
L'hébergement
de nos données portables est assuré par la société
OVH, qui offre d'excellentes garanties technologiques en matière
de protection des contenus digitalisés. Nos ordinateurs
sont protégés par l'antivirus payant NOD32 tandis
qu'une seule personne a accès aux ordinateurs. Notre
établissement est protégé par un système
d'alarme Vérisure. Les contenus confidentiels des entreprises
clientes sont systématiquement effacés après
la réalisation d'une mission.
Que se passerait-il en cas de violation des données personnelles
détenues par la sprl ACG.
Pour commencer, il faut considérer que le fichier clients
de la sprl AGC ne contient pas de données sensibles ou
de données que l'on ne pourrait trouver en balayant l'Internet.
Il s'agit exclusivement d'informations de contact.
En cas de violation de ce fichier, une notification serait envoyée
à l'APD dans les meilleurs délais. (Texte
: ©Jean-Philippe
Legrand)
Que
se passe-t-il en cas de fuite du fichier clients ?
Pour
commencer, il faut considérer que le fichier clients
de la sprl AGC ne contient pas de données sensibles ou
de données que lon ne pourrait trouver en balayant
lInternet. Il sagit exclusivement dinformations
de contact, dont la fuite ne devrait pas représenter
une menace pour la liberté et les droits des personnes
physiques quelles concernent.
En
cas de violation de ce fichier, une notification serait envoyée
à lAPD dans les meilleurs délais.
Combien
de temps les données sont-elles conservées?
En
respect du principe du "droit à l'oubli", les
données sont conservées 5 ans, à dater
de la demande (dans le cas d'une demande de devis), du premier
contact (dans le cas d'un prospect) ou du dernier contact (client
existant). Le motif de cette durée : dans mon métier,
les demandes peuvent être rares et espacées.
Article
4 du règlement
UE 2016/679 : Définitions
"Données
à caractère personnel" ou "donnée
personnel" : toute information se rapportant à une
personne physique identifiée ou identifiable (ci-après
dénommée "personne concernée");
est réputée être une "personne physique
identifiable" une personne physique qui peut être
identifiée, directement ou indirectement, notamment par
référence à un identifiant, tel qu'un nom,
un numéro d'identification, des données de localisation,
un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique,
physiologique, génétique, psychique, économique,
culturelle ou sociale.
"traitement" : toute opération ou tout ensemble
d'opérations effectuées ou non à l'aide
de procédés automatisés et appliquées
à des données ou des ensembles de données
à caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la structuration, la conservation,
l'adaptation ou la modification, l'extraction, la consultation,
l'utilisation, la communication par transmission, la diffusion
ou toute autre forme de mise à disposition, le rapprochement
ou l'interconnexion, la limitation, l'effacement ou la destruction.
Dernière
révision de ce texte : le 14 juin 2019