NOTRE REGISTRE RGPD

Un registre écrit et électronique. Ce registre doit être fait par écrit, en ce compris de manière électronique.

Un registre lisible, compréhensible. La consultation du Registre doit pouvoir permettre à l’autorité de contrôle de se rendre compte des traitements opérés et des informations relatives à ces traitements. Le langage utilisé doit être clair et accessible et le Registre lisible pour l’autorité.

1. Principes généraux

1.1 AU REGARD DES TRAITEMENTS RÉALISÉS EN QUALITÉ DE RESPONSABLE DE TRAITEMENT

1.1.1. Responsable du traitement 

Le nom et les coordonnées du responsable de traitement et le cas échéant du représentant du responsable de traitement. Contrôle d’accès aux données doit être mis en place. Il faut également organiser la séparation des tâches (organisation appropriée pour assurer la protection des données contre destruction accidentelle, perte, falsification, vol, utilisation illicite, diffusion, l’altération, l’accès non autorisé…).

1.1.2. Objectifs de ce traitement de données - Pourquoi ?

Les finalités du traitement (art. 30.1. b) du RGPD). La finalité doit être identifiée par traitement. Décrire l’objectif que le traitement permet d’atteindre.La finalité doit être énoncée clairement et avec précision. A titre d’exemples, citons au titre de finalités générales : l’administration du personnel et des intermédiaires, l’administration des salaires, le contrôle sur le lieu de travail, la gestion de la clientèle, la gestion des fournisseurs, prospection de clients potentiels…

+ Ais-je le droit d’effectuer ce traitement ? Les personnes concernées sont-elles au courant ?Pourquoi est-ce que j’utilise ces données ?Est-ce que toutes les données sont nécessaires (pas seulement utiles) ?

1.1.3 Catégories de personnes et données collectées

Une description des catégories de personnes concernées et des catégories de données personnelles traitées, au regard de chacune des finalités identifiées (art. 30.(1c) du RGPD)

Le présent document a été réalisé par l’APCAL.L’APCAL ne pourra être tenue pour responsable des conséquences de l’utilisation de ce document qui est de la seule responsabilité du courtier.

1 | P a g e

o Les personnes concernées sont les personnes physiques identifiées ou identifiables dont on traite les données (art. 4 (1) du RGPD). L’on pense aux employés, aux clients, aux fournisseurs, aux prestataires externes mais aussi aux mineurs d’âge dès lors que le RGPD contient des règles spécifiques à leur égard (Cfr en particulier l’article 8 du RGPD).

o Quant aux catégories de données, il doit bien sûr s’agir de données à caractère personnel telles que définies à l’article 4 (1) du RGPD. A titre d’exemples, citons : les données d’identification (dont le numéro de registre national), les données financières, les habitudes de consommation, les données relatives aux études et à l’emploi, les données relatives aux convictions politiques, les enregistrements d’images et de sons etc. La CNPD recommande d’identifier quelles sont les données traitées qui sont des données sensibles.

+ Les données sont-elles correctes et à jour ?

1.1.4. Destinataires de ces données : Où ces données sont – elles localisées, transférées ?

Les catégories de destinataires auxquels les données ont été ou seront communiquées au regard de chacune des finalités identifiées.Où sont-elles localisées ? Sur papier, sur serveur interne, sur serveur cloud, chez les fournisseurs/sous-traitants ? Les données d’une personne peuvent-elles être trouvées aisément et rapidement ?

L’obligation de tenir un Registre des traitements est une obligation dynamique, en ce sens que le responsable de traitement et le sous-traitant veilleront à le tenir à jour en ajoutant par exemple tout nouveau destinataire qu’ils n’auraient pas pu envisager lors de la rédaction originelle du Registre (ex : inspection fiscale, nouveau partenaire commercial…).

1.1.5. Durées de conservation de ces données

Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données + Dois-je supprimer les données à la fin du traitement. Sinon pourquoi je les garde ?

2 | P a g e Le présent document a été réalisé par l’APCAL.L’APCAL ne pourra être tenue pour responsable des conséquences de l’utilisation de ce document qui est de la seule responsabilité du courtier.

1.1.6. Sécurisation de ces données

Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.Existe-t-il une politique de sécurité, de protection, de monitoring et d’alerte en cas de fuite des données. Teste-t-on régulièrement les mesures de sécurité ?Est-on capable de stopper, limiter, rectifier, effacer les données personnelles d’une personne. ? Est-on capable de restaurer les données perdues (cyber attaque, catastrophe naturelle, incendie…). A-t-on un registre détaillé des violations de données (origine, impact, remède). + si violation des données : obligation de le notifier dans les 72h à l’autorité de contrôle (CNPD).

Quel mécanisme est en place pour fournir à la personne qui le demande, ses données personnelles ?Comment obtient-on ou a-t-on obtenu le consentement des personnes pour traiter leurs données personnelles ?+ Les données sont-elles sécurisées ?

1.2 AU REGARD DES TRAITEMENTS RÉALISÉS EN QUALITÉ DE SOUS-TRAITANT

En toute logique, c’est l’identité du sous-traitant, et, le cas échéant, de son représentant et de son délégué à la protection des données, qui doivent figurer dans le Registre ainsi que celle de chaque responsable de traitement pour le compte duquel le sous-traitant agit.

Un contrat de sous-traitance liant le sous-traitant au responsable de traitement est obligatoire.

Les catégories de traitements opérés par le sous-traitant pour le compte de chaque responsable de traitement devront y figurer.

Une description générale des mesures techniques et organisationnelles de sécurité

3 | P a g e Le présent document a été réalisé par l’APCAL.L’APCAL ne pourra être tenue pour responsable des conséquences de l’utilisation de ce document qui est de la seule responsabilité du courtier.

REGISTRE DES ACTIVITÉS DE TRAITEMENT DENom de la société

Coordonnées du/des responsable(s) de

l’organisme

(Responsable(s) de traitement)

Nom : Prénom :

Adresse :

CP : Ville :

Téléphone : 00352

Adresse de messagerie : ......................@.....................

2. Activités de Nom de la Société impliquant le traitement de données personnelles.

Activités Désignation des activités

Activité 1 Administration du personnel

Activité 2 Gestion du personnel : Evaluation et suivi du personnel et des intermédiaires. Planification formation et évolution carrière.

Activité 3 Gestion Clientèle

Activité 4 Gestion des prospects

Activité 5 Comptabilité

Activité 6

Activité 7 ….

4 | P a g e Le présent document a été réalisé par l’APCAL.L’APCAL ne pourra être tenue pour responsable des conséquences de l’utilisation de ce document qui est de la seule responsabilité du courtier.

2.1 ADMINISTRATION DU PERSONNEL

2.1.1. Responsable du traitement 

Nom de la Société est pour cette activité responsable du traitement. Il sera représenté par Nom de la/les personne(s) responsable(s) pour cette activité.L’accès à ces données est strictement limité selon les principes suivants :

o Aux responsables pour le traitement o À Nom de la personne en charge pour la partie opérationnelle.

Toute modification à ces données devra être approuvée par deux personnes (principe du double regard) à savoir : nom et prénom des personnes responsables

2.1.2. Objectifs de ce traitement de données - Pourquoi ?

L’administration des dossiers individuels des membres du personnel sous les aspects conventionnels, salariaux, statuts ….La gestion de ces données se justifie par le contrat existant entre Nom de la Société et le membre de son personnel ainsi que par les obligations comptables, fiscales, sociales de Nom de la Société.Chaque membre du personnel a été mis au courant de la gestion de ses données personnelles par la remise du présent Registre RGPD confirmé par sa signature du document de réception Au moins une fois par an, les personnes représentants Nom de la Société pour cetteActivité, s’assureront que toutes les données se trouvant dans les dossiers administratifs des membres du personnel sont :

- nécessaires et pas seulement utiles- correctes et à jour.

2.1.3 Catégories de personnes et données collectées

Les personnes concernées sont les personnes physiques identifiées comme étant employées par Nom de la Société

Les données concernées sont : Données d’identification : état civil, carte identité, situation familiale... Vie professionnelle : Cv, formation, diplômes, Données de sécurité sociale, Données financières salariales : Revenus, données bancaires, ... Aucune donnée sensible Cette liste n’étant pas limitative.

5 | P a g e Le présent document a été réalisé par l’APCAL.L’APCAL ne pourra être tenue pour responsable des conséquences de l’utilisation de ce document qui est de la seule responsabilité du courtier.

2.1.4. Destinataires de ces données

Les données de cette activité sont localisées :

Dans un dossier papier : Sur un serveur interne : Sur un serveur Cloud :

Ces données sont transmises à : Nom de la société en charge

dans le but de l’établissement des fiches de salaire.

2.1.5. Durées de conservation de ces données

Délais légaux.La personne en charge de cette activité de suivi RGPD vérifiera au moins une fois par an ces délais de conservation. Auquel cas, elle procédera à la destruction de ces données après avoir obtenu l’accord d’un membre dirigeant de Nom de la Société.

2.1.6. Sécurisation de ces données

Voir à ce sujet le chapitre général sur la sécurisation des données (Point 3. Ci-après).

2.2 GESTION DU PERSONNEL. L’ÉVALUATION ET LE SUIVI DU PERSONNEL ET DES INTERMÉDIAIRES. LA PLANIFICATION DE LA FORMATION ET DE LA CARRIÈRE.

2.2.1. Responsable du traitement 

Nom de la Société est pour cette activité responsable du traitement. Il sera représenté par Nom de la/les personne(s) responsable(s) pour cette activité.L’accès à ces données est strictement limité à ces 2 personnes.

Toute modification à ces données devra être approuvée par deux personnes (principe du double regard) à savoir : nom et prénom des personnes responsables.

6 | P a g e Le présent document a été réalisé par l’APCAL.L’APCAL ne pourra être tenue pour responsable des conséquences de l’utilisation de ce document qui est de la seule responsabilité du courtier.

2.2.2. Objectifs de ce traitement de données - Pourquoi ?

L’évaluation et le suivi des membres du personnel. La planification de leurs formationset de leur carrière.La gestion de ces données se justifie par le contrat existant entre Nom de la Société et le membre de son personnel ainsi que par les obligations imposées par les autoritésde contrôle dont dépend Nom de la Société à savoir le CAA et indirectement la FSMA pour sa clientèle résidant en Belgique.

Chaque membre du personnel a été mis au courant de la gestion de ses données personnelles par la remise du présent Registre RGPD confirmé par sa signature du document de réception.

Au moins une fois par an, les personnes représentant Nom de la Société pour cetteActivité, s’assureront que toutes les données se trouvant dans les dossiers des membres du personnel sont :

- nécessaires et pas seulement utiles- correctes et à jour.

2.2.3. Catégories de personnes et données collectées

Les personnes concernées sont les personnes physiques identifiées comme étant employées par Nom de la Société.

Les données concernées sont

les données d’identification, les données concernant les études, la carrière, les évaluations, les formations autres ..cette liste n’étant pas limitative.

2.2.4. Destinataires de ces données

Les données de cette activité sont localisées : dans un dossier papier Sur un logiciel informatique

Ces données sont transmises à : N/A dans le but de : N/A

7 | P a g e Le présent document a été réalisé par l’APCAL.L’APCAL ne pourra être tenue pour responsable des conséquences de l’utilisation de ce document qui est de la seule responsabilité du courtier.

2.2.5. Durées de conservation de ces données

Délais légaux.Les personnes en charge de cette activité de suivi RGPD vérifieront au moins une fois par an ces délais de conservation. Auquel cas, elles procéderont à la destruction de ces données après avoir obtenu l’accord d’un membre dirigeant de Nom de la Société.

2.2.6. Sécurisation de ces données

Voir à ce sujet le chapitre général sur la sécurisation des données (Point 3. Ci-après).

2.3 GESTION DE LA CLIENTÈLE

2.3.1. Responsable du traitement 

Nom de la Société est pour cette activité responsable du traitement. Il sera représenté par Nom de la personne en charge pour cette activité.L’accès à ces données est strictement limité selon les principes à :Nom de la personne en charge

Toute modification à ces données devra être approuvée par deux personnes (principe du double regard) à savoir nom et prénom des personnes responsables

2.3.2. Objectifs de ce traitement de données - Pourquoi ?

La gestion de la clientèle de Nom de la Société nécessite l’obtention d’un certain nombre de données à caractère personnel concernant ces clients.La gestion de ces données se justifie par le(s) contrat(s) souscrits par le client. Ces contrats nécessitant l’obtention d’un certain nombre de données à caractère personnel.Elle se justifie également par le respect des dispositions réglementaires et légales auxquelles Nom de la Société est soumis. Citons notamment le respect de la réglementation anti blanchiment/terrorisme, le respect des directives MIFID II et IDD etc...

8 | P a g e Le présent document a été réalisé par l’APCAL.L’APCAL ne pourra être tenue pour responsable des conséquences de l’utilisation de ce document qui est de la seule responsabilité du courtier.

Chaque membre du personnel a été mis au courant de la gestion de ces données clients par la remise du présent Registre RGPD confirmé par sa signature du document de réception

Au moins une fois par an, la personne représentant Nom de la Société pour cetteActivité, s’assurera que toutes les données se trouvant dans les dossiers des clients de Nom de la Société sont :

- nécessaires et pas seulement utiles- correctes et à jour.

2.3.3. Catégories de personnes et données collectées

Les personnes concernées sont :

Les personnes physiques identifiées comme étant clientes de Nom de la Société (c’est-à-dire une personne qui possède au moins un contrat auprès de Nom de la Société).

Les clients personne morale de Nom de la Société sont également concernées par cette gestion de données dans la mesure où ces personnes morales sont représentées par des personnes physiques auprès desquelles Nom de la Société a récolté un certain nombre de données à caractère personnels identiques à celles des personnes physiques clientes de Nom de la Société.

Les données concernées sont

Les données d’identification : adresse, téléphone, données reprise sur la carte d’identité, e-mail, …

Les données financières, patrimoniales, Les données professionnelles, Cette liste n’étant pas limitative.

2.3.4. Destinataires de ces données

Les données de cette activité sont localisées : Dans un dossier papier ; Sur système informatique ; Sur un serveur Cloud ;

Ces données sont transmises à (aux) Compagni(s) d’assurances auprès de laquelle (desquelles) le(s) contrat(s) du client sont souscrit(s).

2.3.5. Durées de conservation de ces données

9 | P a g e Le présent document a été réalisé par l’APCAL.L’APCAL ne pourra être tenue pour responsable des conséquences de l’utilisation de ce document qui est de la seule responsabilité du courtier.

Délais légaux.La personne en charge de cette activité de suivi RGPD vérifiera au moins une fois par an ces délais de conservation. Auquel cas, elle procédera à la destruction de ces données après avoir obtenu l’accord d’un membre dirigeant de Nom de la Société.

2.3.6. Sécurisation de ces données

Voir à ce sujet le chapitre général sur la sécurisation des données (Point 3. Ci-après).

2.4 PROSPECTION DE CLIENTS POTENTIELS

1) Via le site WEB de Nom de la Société2) De manière plus traditionnelle, Nom de la Société pourra également adresser au

prospect éventuel un courrier ou courriel préalable lui demandant s’il accepterait d’être tenu informé de : Évolution des marchés Évolution de la fiscalité …

Ce courrier/courriel préalable ne pourra être envoyé qu’une seule fois au prospect

2.5 COMPTABILITÉ La comptabilité étant confiée à un organisme indépendant, il n’est donc pas nécessaire de reprendre ce point dans notre Registre RGPD.

3. Sécurisation des données à caractère personnel chez Nom de la Société .

10 | P a g e Le présent document a été réalisé par l’APCAL.L’APCAL ne pourra être tenue pour responsable des conséquences de l’utilisation de ce document qui est de la seule responsabilité du courtier.

3.1.1. Mesures de sécurité techniques et organisationnelles : Les ordinateurs sont verrouillés et nécessitent un mot de passe individuels

pour les ouvrir.Les Pc portables sont encryptés et nécessitent également un mot de passe individuel.Les GSM sont verrouillés et nécessitent un mot de passe individuel pour les ouvrir

Mesures de protection des logiciels : Antivirus et mise à jour régulière : Nom du logiciel

Existe-t-il une politique de sécurité, de protection, de monitoring et d’alerte en cas de fuite des données : expliquer en détail

Teste-t-on régulièrement les mesures de sécurité ? expliquer en détail Est-on capable de stopper, limiter, rectifier, effacer les données personnelles d’une

personne ?

Expliquer en détail

Est-on capable de restaurer les données perdues (cyber attaque, catastrophe naturelle, incendie…) : expliquer en détail

Un registre détaillé des violations de données (origine, impact, remède) sous forme de document Word + si violation des données : obligation de le notifier dans les 72h à l’autorité de contrôle (CNPD) : voir folder sur : Donner le lien où se situe le folder

Quel mécanisme est en place pour fournir à la personne qui le demande, ses données personnelles ? Expliquer en détail

.

Comment obtient-on ou a-t-on obtenu le consentement des personnes pour traiter leurs données personnelles ? Contrat de courtage et fiche client signés par le client dès son entrée.

11 | P a g e Le présent document a été réalisé par l’APCAL.L’APCAL ne pourra être tenue pour responsable des conséquences de l’utilisation de ce document qui est de la seule responsabilité du courtier.

Les données sont-elles sécurisées ?expliquer en détail

4. Quand Nom de la Société agit en tant que sous-traitant

Il s’agit ici de la gestion de données personnelles des clients de Nom de la Société pour le compte des Compagnies d’assurances où les contrats des clients sont réalisés.Ces données ne sont pas conservées par Nom de la Société. Elles sont simplement transmises aux Compagnies d’assurances.La personne responsable de cette activité, à savoir Nom de la personne en charge, devra, au moins une fois par an, vérifier que ces données transmises aux Compagnies soient effectivement détruites lorsque le contrat a été établi.

En toute logique, c’est l’identité du sous-traitant, et, le cas échéant, de son représentant et de son délégué à la protection des données, qui doivent figurer dans le Registre ainsi que celle de chaque responsable de traitement pour le compte duquel le sous-traitant agit.

Un contrat de sous-traitance liant le sous-traitant au responsable de traitement est obligatoire.

12 | P a g e Le présent document a été réalisé par l’APCAL.L’APCAL ne pourra être tenue pour responsable des conséquences de l’utilisation de ce document qui est de la seule responsabilité du courtier.