Règlement général européen sur la protection des données (RGPD)

 

 

Cadre légal

La présente Politique de conformité au Règlement Général sur la Protection des Données (UE) 2016/679 (ci-après le « RGPD ») a pour objet de définir le cadre juridique, organisationnel et technique mis en place par NCIEC afin d’assurer la protection des données à caractère personnel traitées dans le cadre de l’ensemble de ses activités.

Cette politique est établie conformément :

 

  • au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
  • à la loi luxembourgeoise du 1er août 2018 portant organisation de la Commission nationale pour la protection des données (CNPD) et mise en œuvre du RGPD ;
  • aux lignes directrices, recommandations et décisions de la Commission nationale pour la protection des données (CNPD – Luxembourg).

Depuis le 25 mai 2018, le RGPD est pleinement applicable et constitue le cadre juridique de référence en matière de protection des données à caractère personnel au sein de l’Union européenne.

 

Responsable du traitement

Le traitement de vos données à caractère personnel sera ainsi effectué dans ce cadre par l’entreprise :

N.C.I.E.C. Services S.àr.l.
15, rue des Joncs
L-1818 Howald
Téléphone: +352 20 30 60 60
E-mailinfo@nciec.lu

 

Personne de contact / responsable désigné

 

Le responsable désigné par l’entreprise pour la protection et le traitement de vos données à caractère personnel est :

Monsieur BARBOSA Filipe, pouvant être contacté comme suit :
Téléphone: +352 661 40 30 09
E-mailfb@nciec.lu

 

Fondement juridique du traitement

Dans le cadre de ses activités, NCIEC est amenée à traiter des données à caractère personnel. Ces traitements reposent exclusivement sur les fondements juridiques prévus par l’article 6 du Règlement (UE) 2016/679 relatif à la protection des données (RGPD).

Selon la finalité poursuivie, les traitements mis en œuvre par NCIEC peuvent notamment reposer sur les bases légales suivantes :

Consentement de la personne concernée

Lorsque la réglementation l’exige, NCIEC traite les données à caractère personnel sur la base du consentement libre, spécifique, éclairé et univoque de la personne concernée, donné pour une ou plusieurs finalités déterminées.
La personne concernée peut retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant ce retrait.

Exécution d’un contrat ou mesures précontractuelles

Certaines données sont traitées lorsque cela est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à la mise en œuvre de mesures précontractuelles prises à sa demande, notamment dans le cadre de demandes d’information ou de services.

Respect d’obligations légales

NCIEC peut être tenue de traiter des données à caractère personnel afin de se conformer à des obligations légales ou réglementaires auxquelles elle est soumise, en particulier en vertu du droit luxembourgeois ou du droit de l’Union européenne.

Intérêts légitimes

Dans certains cas, les traitements peuvent être fondés sur les intérêts légitimes poursuivis par NCIEC ou par un tiers, sous réserve que ne prévalent pas les intérêts ou les droits et libertés fondamentaux des personnes concernées nécessitant une protection accrue des données à caractère personnel.
Une analyse de mise en balance est réalisée lorsque cette base légale est utilisée.

Cadre juridique national applicable

En complément du RGPD, les traitements réalisés par NCIEC s’inscrivent dans le cadre des dispositions nationales luxembourgeoises en matière de protection des données, notamment la loi du 1er août 2018 relative à la Commission nationale pour la protection des données (CNPD). Ces règles viennent préciser et encadrer l’application du RGPD sans en modifier les principes fondamentaux.

 

Collecte des données

Dans le cadre de ses activités, l’entreprise collecte et traite des données à caractère personnel de manière licite et loyale, conformément au Règlement (UE) 2016/679 (RGPD).

Selon les situations, peuvent notamment être collectées :

  1. a) Données relatives aux clients, prospects et contacts
  • Nom, prénom ;
  • Adresse du domicile ou du lieu de prestation ;
  • Adresse e-mail ;
  • Numéro de téléphone, numéro de fax ;
  • Données contractuelles et administratives (devis, contrats, factures, bons d’intervention, échanges) ;
  • Informations nécessaires à l’exécution des prestations (horaires, consignes d’accès, informations logistiques).
  1. b) Données relatives aux salariés

Dans le cadre de la relation de travail, l’entreprise collecte et traite notamment :

  • Données d’identification (nom, prénom, sexe, date et lieu de naissance, nationalité) ;
  • Coordonnées (adresse, e-mail, téléphone fixe et mobile) ;
  • Données d’identité administrative (carte d’identité, passeport, numéro d’identification national ou fiscal, signature) ;
  • Données relatives aux qualifications, formations et parcours professionnel ;
  • Données contractuelles et disciplinaires (contrat, avenants, sanctions, lettres de licenciement ou de démission et motifs) ;
  • Données liées à l’organisation du travail (horaires, planning, absences, notifications de maladie) ;
  • Toute autre information strictement nécessaire à l’exécution du travail et à la gestion des ressources humaines.
  1. c) Interventions en milieux sensibles

Dans le cadre de certaines prestations (notamment nettoyage en milieu hospitalier ou assimilé), l’entreprise ne collecte ni ne traite aucune donnée à caractère personnel concernant les patients, ni aucune donnée de santé ou donnée sensible au sens du RGPD.

Toutefois, les salariés intervenant sur ces sites peuvent être amenés à avoir accès de manière strictement incidentelle et non intentionnelle à des informations ou documents contenant des données personnelles appartenant à des tiers (patients, personnel, visiteurs).

Cet accès est :

  • fortuit et limité ;
  • sans collecte, sans enregistrement, sans conservation ;
  • soumis à une obligation stricte de confidentialité.

Finalité de la collecte des donnés

Les données à caractère personnel sont collectées et utilisées exclusivement afin de :

  • Répondre aux demandes et assurer le suivi des échanges ;
  • Gérer et entretenir les relations commerciales, contractuelles et/ou professionnelles ;
  • Organiser et assurer l’exécution des prestations chez les clients ;
  • Gérer la relation de travail, la paie et l’administration du personnel ;
  • Respecter les obligations légales, sociales, fiscales et administratives ;
  • Prévenir et gérer les incidents, litiges ou sinistres.

Les traitements mis en œuvre sont proportionnés aux objectifs poursuivis et limités aux données strictement nécessaires.

Confidentialité / communication

Les données à caractère personnel sont conservées de manière sécurisée et traitées de façon confidentielle.

Destinataires internes

L’accès aux données est strictement limité aux personnes habilitées, notamment :

  • La Direction ;
  • Le service Ressources Humaines ;
  • Les personnes désignées en interne lorsque cela est nécessaire à l’exécution des prestations ou à la gestion administrative (dans la limite de leurs missions).

Destinataires externes

Elles ne sont pas communiquées à des tiers, sauf lorsque cela est nécessaire :

  • à des prestataires ou de services dûment habilités (ex. comptabilité, informatique, sécurité), agissant conformément à la législation en vigueur ;
  • aux administrations publiques lorsque la loi l’exige ;
  • aux autorités compétentes (police, justice) ou aux assureurs en cas de sinistre ou de litige.

 

Suppression, rectification et droits des personnes

Toute personne concernée (client, salarié ou autre) dispose, conformément au Règlement (UE) 2016/679 (RGPD), des droits suivants :

  • Droit d’accès et d’information : obtenir la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, y accéder (article 15 du RGPD) ;
  • Droit de rectification : demander la correction de données inexactes ou incomplètes (article 16 du RGPD) ;
  • Droit à l’effacement : demander la suppression des données personnelles lorsque les conditions légales sont réunies (article 17 du RGPD) ;
  • Droit à la limitation du traitement : demander la limitation temporaire du traitement de ses données dans les cas prévus par la réglementation (article 18 du RGPD) ;
  • Droit d’opposition : s’opposer, pour des raisons tenant à sa situation particulière, au traitement de ses données personnelles lorsque celui-ci est fondé sur l’intérêt légitime (article 21 du RGPD) ;
  • Droit à la portabilité : recevoir les données fournies dans un format structuré, couramment utilisé et lisible par machine, lorsque applicable (article 20 du RGPD).

Les données sont conservées uniquement pendant la durée nécessaire aux finalités poursuivies et sont ensuite supprimées ou archivées conformément aux obligations légales applicables.

Toute demande relative à l’exercice des droits doit être adressée au responsable désigné par l’entreprise pour la protection et le traitement des données à caractère personnel.

 

Vidéosurveillance et géolocalisation

Sur la base du RGPD, la société N.C.I.E.C S.À.R.L  a mis en place un système de vidéosurveillance ainsi qu’un système de géolocalisation.

  • La vidéosurveillance concerne les salariés ainsi que les personnes présentes dans/aux abords de l’entreprise (visiteurs, fournisseurs, clients, etc.).
  • La géolocalisation concerne uniquement les salariés concernés et ne s’applique pas aux visiteurs.

Base de licéité

Tout traitement de données à caractère personnel réalisé repose sur une des conditions de licéité limitativement énumérées à l’article 6.1 du RGPD. Dans le cadre de systèmes de vidéosurveillance et de géolocalisation, la condition de licéité la plus appropriée est, de façon générale, celle du traitement nécessaire aux fins des intérêts légitimes du responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la ou des personne(s) soumise(s) à la vidéosurveillance et au système de géolocalisation (article 6.1, f) du RGPD).

Conformément à l’article 5.1 b) du RGPD, les données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement d’une manière incompatible avec ces finalités.

Conformément à l’article 12.1 du RGPD, la fourniture d’informations aux personnes concernées et les communications qui leur sont adressées sont réalisées d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.

Le responsable du traitement a recours à un dispositif de vidéosurveillance et de géolocalisation car il n’y a pas de moyens alternatifs moins attentatoires à la vie privée des personnes concernées pour atteindre la finalité recherchée, notamment en matière de sécurité des personnes, protection des biens, prévention/constatation d’incidents et gestion des interventions (le cas échéant pour la géolocalisation).

 

Durée de conservation

Les enregistrements vidéo et les données issues de la géolocalisation sont conservés sur un support sécurisé pendant une période maximale de 2 mois, sauf en cas de sinistre, d’incident, ou pour l’identification de suspects.

 Destinataires / communications possibles

L’accès aux enregistrements vidéo et, le cas échéant, aux données de géolocalisation est strictement limité aux personnes habilitées.

En interne, les données peuvent être accessibles, dans la limite de leurs missions, à :

  • La Direction ;
  • Le service opérationnel
  • Toute personne dûment habilitée ayant un besoin légitime d’accès.

En externe, les données peuvent être communiquées, selon le cas :

  • Aux organismes d’assurances pour la gestion de sinistres ou litiges ;
  • Aux forces de police et aux services de secours ;
  • Sur demande, aux autorités publiques compétentes disposant d’un pouvoir d’investigation et de contrôle.

L’entreprise peut également recourir à des prestataires externes (ex. maintenance du système, prestataire informatique/sécurité) susceptibles d’avoir un accès technique, uniquement si nécessaire, et sous réserve d’obligations de confidentialité et de mesures de sécurité appropriées.

Sécurité et accès

L’accès aux données est sécurisé et limité aux personnes habilitées. Chaque personne ayant accès aux données bénéficie d’un compte d’accès individuel. Un journal des accès est disponible, de sorte qu’il soit possible de retracer les personnes ayant accédé aux données et les données consultées, en cas d’abus. Un identifiant et un mot de passe sont nécessaires pour accéder à l’interface permettant la consultation des images et, le cas échéant, des données de géolocalisation en temps réel et/ou enregistrées.

 

Protection des lanceurs d’alerte et des données

Chez NCIEC Services, nous encourageons nos employés et partenaires à signaler toute pratique illégale ou contraire à l’éthique, tout en garantissant la confidentialité et la sécurité de leurs informations.

Ce que nous faisons :

Confidentialité absolue : l’identité du lanceur d’alerte est protégée.

Canaux sécurisés : signalement possible en interne ou via les autorités compétentes (ex. CNPD pour les données personnelles).

Respect du RGPD et de la loi luxembourgeoise : seules les informations nécessaires sont collectées et conservées le temps de l’enquête.

Protection contre les représailles : aucun licenciement, sanction ou discrimination ne sera toléré.

Nous veillons à ce que chaque alerte soit traitée rapidement, en toute sécurité et de manière professionnelle, contribuant ainsi à un environnement de travail transparent, sûr et responsable.

 

Conservation et suppression des données personnelles

Nous supprimons les données à caractère personnel que nous traitons dès que les bases légales de leur traitement ne sont plus réunies, notamment en cas de retrait du consentement ou lorsque les finalités pour lesquelles les données ont été collectées ne sont plus pertinentes, c’est-à-dire lorsque leur conservation n’est plus nécessaire.

Certaines exceptions peuvent s’appliquer lorsque la loi impose une obligation de conservation ou lorsqu’il existe des motifs légitimes justifiant une conservation prolongée ou un archivage. Ces exceptions concernent notamment :

  • les obligations légales ou réglementaires, telles que les obligations fiscales ou commerciales ;
  • la constatation, l’exercice ou la défense de droits en justice ;
  • la protection des droits et intérêts d’autrui, qu’il s’agisse de personnes physiques ou morales.

Dans ces cas, le traitement des données est strictement limité aux finalités qui justifient leur conservation.

Lorsque vous demandez la suppression de vos données ou retirez votre consentement au traitement, nous procédons à leur suppression dans les meilleurs délais, sous réserve de l’existence d’une obligation légale de conservation ou d’un intérêt légitime nécessitant leur maintien.

 

Sécurité et conformité des données dans nos opérations commerciales

Dans le cadre de nos activités commerciales, nous avons mis en place des processus et procédures clairs pour garantir que le traitement des données à caractère personnel de nos clients, prospects et partenaires respecte pleinement le Règlement Général sur la Protection des Données (RGPD).

Nos processus commerciaux incluent notamment :

  • La prospection et génération de contacts,
  • La gestion des ventes et des contrats,
  • Le suivi client et la fidélisation,
  • L’analyse et le reporting commercial.

Pour chacune de ces étapes, nos procédures commerciales garantissent que :

  • Les données collectées sont strictement pertinentes et limitées aux finalités commerciales légitimes.
  • Les informations personnelles sont traitées de manière transparente et sécurisée.
  • L’accès aux données est restreint aux personnes autorisées et aux fins pour lesquelles elles ont été collectées.
  • Les données sont conservées uniquement le temps nécessaire pour atteindre les finalités commerciales ou pour respecter les obligations légales, conformément à notre politique de conservation des données.
  • Les personnes concernées peuvent exercer leurs droits (accès, rectification, suppression, opposition, limitation du traitement) conformément au RGPD.

Nous révisons régulièrement nos processus et procédures commerciales pour nous assurer qu’ils restent conformes au RGPD et qu’ils protègent les données personnelles tout au long du cycle commercial.