CODE DE CONDUITE DE VRYDAGH & BORIAU SA CONCERNANT LA POLITIQUE DE PROTECTION DES DONNÉES
Introduction
La protection de la vie privée est d’une importance primordiale. C’est pourquoi, il est essentiel de respecter méticuleusement la législation européenne (entre autres le Règlement Général sur la Protection des Données ou “RGPD”) et nationale (la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel mais aussi la loi du 13 juin 2005 relative aux communications électroniques) ainsi que d’en informer au maximum nos clients et les débiteurs. Vrydag & Boriau s’engage à gérer et utiliser les données personnelles de manière sécurisée, légale et en tant que bon père de famille afin de traiter les dossiers dans les meilleures conditions.
L’information ci-dessous explique quelles données sont collectées, pourquoi elles sont collectées, la durée du processus et dans quelles mesures les personnes concernées pourront les contrôler.
1. DÉFINITION DE “TRAITEMENT DE DONNÉES”
Le RGPD définit le “traitement” et les “données à caractère personnel” comme:
Traitement: une opération ou un ensemble d’opérations relatives à des données personnelles ou un ensemble de données personnelles, qu’elles soient ou non effectuées via des processus automatisés, tels que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, la mise à jour ou la modification, la récupération, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, l’alignement ou l’interconnexion, la protection, suppression ou destruction des données;
Données à caractère personnel: toute information concernant une personne physique identifiée ou identifiable („la personne concernée”); est considérée comme une personne physique identifiable, une personne physique pouvant être identifiée directement ou indirectement, notamment au moyen d’un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments caractéristiques propres à son identité physique, psychologique, génétique, psychique, économique, culturelle ou sociale.
Conformément à la loi, nous ne traitons pas de données sensibles telles que les données sur
votre origine raciale ou ethnique, vos opinions politiques, vos préférences sexuelles et votre santé (voir également le point 3 ci-après, concernant ce dernier point).
Le responsable du traitement des données est Vrydagh & Boriau NV (ci-après dénommé V&B), Kerkskenhoek 72, 9450 Haaltert.
Tant pour le recouvrement après subrogation que pour le recouvrement sur mandat, V&B détermine lui-même les données qu’il traite, tout en collectant les données pendant la durée du mandat, avec ses propres ressources et finalités (par ex. enrichir les données tant par l’enrichissement interne, qu’externe par des data quality partners; répondre aux questions des débiteurs concernés; traiter les plaintes venant des pouvoirs public sou des organisations de consommateurs, etc.).
2. LES PERSONNES PROTÉGÉES PAR CE CODE
Ce code de conduite s’applique aussi bien aux débiteurs privés qu’aux clients de V&B pour autant que ce soient des personnes physiques. Cela concerne donc à la fois des débiteurs consommateurs que des débiteurs commerçants, à condition que ce soient des personnes physiques.
Ce code de conduite s’applique également lors de visites dans nos bureaux, de l’utilisation de nos sites web et nos éventuelles applications mobiles.
V&B remplira ses obligations et respectera les droits des personnes concernées chaque fois que leurs données seront traitées.
3. FINALITÉ DU TRAITEMENT DES DONNÉES
Nous traitons uniquement les données personnelles qui sont nécessaires pour atteindre l’objectif prévu. En ce qui concerne les dossiers de recouvrement, cela concerne les informations nécessaires pour recouvrer les créances, les cas échéants par une procédure d’insolvabilité ou bien par une procédure judiciaire. (comme l’adresse et un numéro de téléphone de la personne concernée ou son mandataire et non les caractéristiques physiques d’une personne). Le traitement de certaines données est également interdit, notamment en ce qui concerne l’état de santé de la personne concernée: il est possible d’inclure l’information selon laquelle une personne est “hospitalisée” et est donc temporairement incapable de respecter un plan de paiement ou de recouvrer une facture d’hôpital contenant principalement des détails de paiement;, par contre il n’est pas permis de reprendre l’information qu’une personne souffre d’un cancer, ceci est trop concret.
Plus concrètement, l’utilisation est autorisées dans les cas suivants
• Dans le cadre de la préparation ou de l’exécution d’un contrat, comme dans le cas où nous sommes subrogés dans les droits et obligations du créancier initial. Dans ce cas, nous agissons dans le respect des droits et obligations du créancier initial, devenant nous-mêmes créancier;
OU
• Pour respecter les dispositions légales (au sens large) auxquelles nous sommes soumis;
OU
• Lorsque nous avons un intérêt légitime, toujours dans des mesures proportionnelles. Un exemple de cedi est le cas où nous gérons un dossier sur mandat. Un mandat (également appelé procuration) est un accord par lequel le client nous autorise à poser des actes juridiques en son nom (par ex. la conclusion d’un plan de paiement concernant une créance du client-créancier).
OU
• Lorsque nous avons été autorisés à stocker et/ou traiter des données (ce qui n’est en principe pas le cas avec une relation de recouvrement, sauf si la personne concernée communique des données personnelles lors de la gestion avec la demande d’utilisation de ces données).
4. PROCÉDÉ DE SÉCURISATION DES DONNÉES
1. Nous formons nous-mêmes nos collaborateurs afin de gérer correctement les données confidentielles.
2. Dans le cadre de projets sensibles à caractère privé, un contrôle est également réalisé dans le domaine de la sécurité et de la protection des données personnelles.
3. Des personnes spécifiques sont compétentes pour la politique de sécurité d’information.
4. Nous faisons appel à des partenaires spécialisés internes et/ou externes qui sont responsables de la sécurité de notre réseau, de notre infrastructure et de nos systèmes d’information. Nous utilisons également des mesures techniques et organisationnelles pour protéger vos données personnelles, telles que: par mot de passe, pare-feu, antivirus, détection des intrusions et des anomalies et contrôles d’accès pour nos collaborateurs et membres.
5. Dans le cas où il devrait y avoir un sous-traitant (p.e. les indépendants faisant les visites au domicile, un service IT externe, etc) alors V&B conclura un contrat de traitement avec le sous-traitant, déclarant que le sous-traitant n’agira que sur la seule instruction de V&B et sera soumis aux mêmes obligations.
6. En cas de violation de données personnelles susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, alors V&B, en tant que responsable du traitement, informera la personne concernée -dans un langage clair et facilement compréhensible -de la nature de l’infraction, des conséquences probables de la violation ainsi que des mesures prises ou à prendre par le responsable du traitement à ce sujet.
Dans ce cas, le responsable du traitement en notifie la violation en question à l’Autorité de protection des données, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.
7. Nous utilisons une approche basée sur le risque: cela signifie que nous prenons des mesures de protection en rapport avec le niveau de risque de nos activités de traitement de données. C’est pourquoi, les efforts à fournir par un membre qui traite beaucoup de données seront plus onéreux que ceux à fournir par un membre traitant une petite quantité.
5. ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES
DONNÉES
Une analyse d’impact préalable relative à la protection des données (ci-après DPIA, étant l’acronyme anglophone habituel de « Data Protection Impact Assessment ») est effectuée lorsqu’un traitement de données personnelles envisagé, compte tenu de sa nature, sa portée, son contexte et ses finalités, est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques concernées.
L’utilisation ou l’implémentation de nouvelles technologies peut être un indicateur de l’existence d’un haut risque. Ceci est d’autant plus le cas si un traitement différent (p.e. filières d’encaissement
; systèmes de rappel) est développé qui est lié à un groupe de personnes (p.e. filières d’encaissement
différentes en fonction de la localisation, de l’âge, des antécédents chez l’une ou l’autre société de recouvrement ou d’une procédure d’insolvabilité subie ou non par la personne concernée).
Cette analyse d’impact contient au moins :
• une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement;
• une évaluation de la nécessité et de la proportionnalité des opérations de traitement
au regard des finalités;
• une évaluation des risques pour les droits et libertés des personnes concernées;
• les mesures prévues afin de faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.
• ce code de conduite est pris en compte dans l’analyse d’impact relative à la protection des données.
6. DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)
V&B a désigné un “délégué à la protection des données” (ci-après DPO, étant l’acronyme anglophone habituel de « Data Protection Officer »).
Il informe et conseille les sociétés et ses employés au sujet de leurs obligations qui découlent du
RGPD et d’autres dispositions concernant la protection de données.
Il contrôle si les mesures de protection de données sont respectées et est la personne de contact pour les autorités de contrôle.
7. COMMUNICATION DES DONNÉES À DES TIERS
Les données à caractère personnel ne sont pas transférées à des tiers, sauf dans les cas où:
• Ceci est nécessaire à nos services se limitant aux finalités du traitement
(apurement du dossier).
Concernant certains aspects de nos services, nous collaborons avec des tiers ou faisons appel à des mandataires. À titre d’exemple, les services qui entretiennent ou développent les systèmes informatiques, printing partners, ainsi que les mandataires qui font des visites à domicile, ou encore des avocats et des huissiers de justice à qui il est fait appel. Nous nous assurons qu’ils traitent vos données, tout comme nous, d’une manière sûre, respectueuse et en bon père de famille. De plus, ces derniers sont soumis à leurs déontologies respectives.
• Il existe une obligation légale. L’exemple le plus courant à ce sujet est la saisie de certaines pièces par les inspecteurs du SPF Economie commissionnés dans le cadre du respect de la loi relative au crédit à la consommation, actuellement livre VII, titre 4, chapitre 1 CDE, et dans le cadre de la loi relative au recouvrement à l’amiable de dettes (LRA).
• Il y a une autorisation préalable des personnes concernées. Un exemple courant concerne leurs avocats (qui, légalement, sont considérés avoir un mandat de la personne concernée) ou les CPAS et CAS, lesquels joignent un mandat de la personne concernée et demandent un état de la situation (comme le solde et les pièces justificatives) afin de pouvoir en discuter avec leur client.
• Dans le cadre de recherches/enquêtes: Il arrive que nous utilisions des données anonymes à des fins de recherche ou d’enquête et le cas échéant pour l’information aux autorités publiques ou des communications de presse. Ces données ne sont jamais reliées à des personnes identifiables..
8. LES DROITS ET POSSIBILITÉS D’ACTION DES
PERSONNES CONCERNÉES
Le droit d’accès et copie
Les personnes concernées ont le droit d’accès (gratuit) aux données qui les concernent. Elles peuvent demander:
• Si nous traitons ou non des données personnelles;
• Pour quelles finalités nous les traitons;
• Les catégories de données que nous traitons;
• À quelles catégories de destinataires nous les communiquons;
• L’origine des données traitées; et
• La logique sous-jacente au traitement automatisé de certaines données à caractère personnel
Le droit d’accès peut être exercé par un écrit au responsable du traitement. Afin d’exercer le droit d’accès et pour empêcher toute divulgation non autorisée ou illicite d’informations personnelles, une preuve d’identité est exigée : une copie de la face avant de la carte d’identité du demandeur ou de la personne concernée.
V&B répondra aux demandes d’accès dans les meilleurs délais et au plus tard dans un délai d’un mois. Ce délai commence à partir de la réception par le responsable du traitement de données de la demande écrite ainsi que de tous les éléments utiles et nécessaires.
Qui plus est, le responsable du traitement fait parvenir une copie des données personnelles traitées à la personne concernée.
De plus, un plaignant peut s’adresser à l’Autorité de Protection des Données, notamment dans le cas où aucune réaction à la demande n’est obtenue ou si la demande est refusée ou si la réponse n’est pas satisfaisante.
Votre droit de rectification, d’effacement et de ne pas faire l’objet d’une décision
fondée exclusivement sur un traitement automatisé
Les personnes concernées ont le droit de faire effacer ou modifier des données à caractère personnel incomplètes, erronées, inadéquates ou anciennes. Pour ce faire, V&B peut être contacté. Elle modifiera ou supprimera ensuite ces informations si la demande est correcte.
V&B surveille la mise à jour de ses données, afin qu’elles restent à jour et correctes.
9. REGISTRE DES ACTIVITÉS DE TRAITEMENT
V&B tient un registre de leurs activités de traitement. Ce registre contient: le type de données traitées, les finalités du traitement, les destinataires des données, l’endroit où les données seront conservées, comment les données seront sécurisées et les délais de conservation.
10. DÉLAIS DE CONSERVATION DE DONNÉES
PERSONNELLES
Les données personnelles sont uniquement conservées le temps nécessaire pour atteindre l’objectif pour lequel elles ont été recueillies (généralement la gestion de créances).
Vu que le délai de prescription du droit commun est de 10 ans (art. 2262bis CC) et qu’un dossier peut encore être contesté ou qu’il peut encore mettre en cause notre responsabilité professionnelle jusqu’à l’échéance de ce délai, un délai de conservation maximal de 10 ans après l’apurement de la créance, ou après la fin du mandat, est d’application.
Ce pendant, les personnes concernées ont, tenant compte du paragraphe ci-dessus, le droit d’effacement des données si leur conservation n’est plus nécessaire au regard des finalités pour lesquelles elles ont été collectées, a fait l’objet d’un traitement illicite ou pour respecter une obligation légale.
Les données archivées ont un accès limité.
11. SITES WEB
Nos sites web peuvent être visités sans devoir partager des données à caractère personnel quelconques.
12. CONTRÔLE ET CHANGEMENT
Les données à caractère personnel qui sont collectées à travers les divers canaux (p.e. via les réactions par écrit ou par téléphone des personnes concernées, visites domiciliaires conformément à l’article 7 de la loi relative au recouvrement amiable, données de domiciliation communiquées par les communes conformément à l’art. 45 § 1 C.Civ.) sont enregistrées dans nos fichiers.
V&B peut modifier le code de conduite. Les personnes concernées peuvent en demander ou consulter la dernière version sur les sites web de V&B.
Le dernier code de conduite a, en cas de conflit, priorité sur les versions antérieures des codes de conduite.