RGPD

En tant que Client, Vous nous autorisez à traiter pour votre compte les données à caractère personnel, telles que définies par la réglementation en vigueur applicable, nécessaires pour fournir les services faisant l'objet de la lettre de mission. Nous nous engageons à traiter les données à caractère personnel conformément à la/ les lettre(s) de mission jointe(s) et, uniquement sur base de vos instructions.
Dans le cadre de l'exécution de la mission, le Client et l’Expert-Comptable s'engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (le « RGPD »).

L'Expert-Comptable traite des données à caractère personnel pour le compte du Client et sur base de ses instructions. A ce titre, l’Expert-Comptable est qualifié de sous­ traitant.
Le Client détermine dans la lettre de mission les finalités, les moyens du traitement et les données faisant l'objet du traitement. A ce titre, le Client est qualifié de responsable du traitement.
Les traitements de données à caractère personnel effectués par l’Expert-Comptable au titre de la mission confiée seront effectués conformément à la lettre de mission et au RGPD. La lettre de mission devra ainsi contenir :
l'objet et la durée du traitement;
la nature et la finalité du traitement ;
le type de données à caractère personnel ;
les catégories de personnes concernées et
les obligations et les droits de l’Expert-Comptable et du Client ;

L'Expert-Comptable s'engage à respecter l'ensemble des obligations imposées au sous-traitant en vertu du RGPD et s'engage dans la lettre de mission à :
traiter les données à caractère personnel uniquement pour la ou les seule(s) finalité(s) qui fait/font l'objet de la sous-traitance ;
traiter les données conformément aux instructions documentées du Client figurant dans la lettre de mission ;
garantir la confidentialité des données à caractère personnel traitées dans le cadre de la lettre de mission ;
veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu de la lettre de mission: s'engagent à respecter la confidentialité et soient soumises à une obligation légale appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
prendre en compte, s'agissant de ses services, les principes de protection des données dès la conception et par défaut ;
ne pas recruter un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du Client;
aider, dans toute la mesure du possible, le Client à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées : droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation du traitement droit à la portabilité des données, droit de ne pas faire l'objet d'une décision individuelle automatisée (y compris le profilage) ;
notifier au Client toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance ;
aider le Client pour la réalisation d'analyses d'impact relatives à la protection des données si celles-ci s'avèrent nécessaires ;
selon le choix du Client, supprimer toutes les données à caractère personnel ou les renvoyer au Client au terme de la prestation de services relative au traitement, et détruire les copies existantes, sauf disposition légale ou réglementaire contraire ;
communiquer au Client le nom et les coordonnées de son délégué à la protection des données, s'il en a désigné un conformément à l'article 37 du RGPD. La communication peut être effectuée au moyen d'un renvoi dans la lettre de mission au site internet de l’Expert-Comptable sur lequel le nom et les coordonnées du délégué à la protection des données sont publiées ;
tenir par écrit un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Client conformément à l'article 30, paragraphe 2 du RGPD;
mettre à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y
compris des inspections, par le Client ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.
En revanche, si l'Expert-Comptable est amené à déterminer les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement et il est tenu de respecter l'ensemble des obligations imposées au responsable du traitement en vertu du RGPD.

Le Client s'engage à respecter l'ensemble des obligations imposées au responsable du traitement en vertu du RGPD.
Le Client garantit notamment que les données à caractère personnel sont :
traitées de manière licite, loyale et transparente au regard de la personne concernée ;
collectées pour des finalités déterminées, explicites et légitimes ;
adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
exactes et, si nécessaire, tenues à jour ;
conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y  compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.
Le Client garantit à /'Expert-Comptable qu'il a fourni l'information nécessaire conformément aux articles 13 et 14 du RGPD aux personnes concernées sur les opérations de traitement et qu'il donnera suite aux demandes d'exercice des droits des personnes concernées: droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l'objet d'une décision individuelle automatisée (y compris le profilage).
Vis-à-vis de l'Expert-Comptable, le Client s'engage à :
lui fournir des données correctes, adéquates, pertinentes et limitées strictement à ce qui est nécessaire pour permettre à l’Expert-Comptable d'exécuter la ou les prestation(s) faisant l'objet de la lettre de mission ;
documenter par écrit toute instruction concernant le traitement des données à réaliser par l'Expert-Comptable;
veiller, au préalable et pendant toute la durée du traitement réalisé par l'Expert-Comptable, au respect des obligations prévues par le RGPD;
superviser le traitement, y compris réaliser les audits et les inspections nécessaires auprès de l'Expert-Comptable.

Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, l’Expert-Comptable et le Client mettent en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
la pseudonymisation et le chiffrement des données à caractère personnel;
des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement (tels que notamment les contrôles à l'entrée des installations, des supports, de la mémoire, de l'accès, de la transmission, de l'introduction, du transport);
des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique (tels que notamment le contrôle de la disponibilité);
une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.  

Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite. 
Le Client et l’Expert-comptable prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du Client ou sous celle de l'Expert-Comptable, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du Client, à moins d’y être obligée par le droit de l'Union ou le droit luxembourgeois. Les responsabilités de chacune des Parties au regard des mesures de sécurité à mettre en œuvre sont précisément définies dans la lettre de mission.

L'obligation de confidentialité se dégageant du présent article n'interdira pas à l’Expert-Comptable de divulguer une information si cette information est requise ou permise en vertu des régies légales ou professionnelles applicables, notamment dans le cadre d'une procédure disciplinaire, civile, commerciale ou pénale, ou dans le cadre de la législation relative à la lutte contre le blanchiment et contre le financement du terrorisme. A ce titre, l’Expert-Comptable est considéré comme un responsable du traitement et il est tenu de respecter les obligations imposées au responsable du traitement en vertu du RGPD dans les limites prévues par les lois en vigueur.

Dans le cadre de l'exécution de la mission que Vous Nous avez confiée, Nous sommes autorisés à traiter les données à caractère personnel nécessaires pour fournir les services faisant l'objet de la lettre de mission (« Services »). Les Services sont définis dans la/ les lettre(s) de mission jointe(s).

Au regard de son expertise professionnelle, l’Expert-Comptable détermine les finalités et les moyens du traitement de données à caractère personnel à mettre en œuvre pour fournir les Services. A ce titre, l’Expert-Comptable agit en tant que responsable du traitement L'Expert-Comptable s'engage à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (le « RGPD »).

L'Expert-Comptable est tenu de respecter l'ensemble des obligations imposées au responsable du traitement en vertu du RGPD. L'Expert-Comptable s'engage à prendre toutes précautions nécessaires afin de garantir la sécurité des données à caractère personnel et notamment de les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, altération, diffusion ou accès non autorisés. Il appartient à l’Expert-Comptable : de fournir l'information au Client et, le cas échéant, aux autres personnes concernées par les opérations de traitement conformément aux articles 13 et 14 du RGPD. Cette information peut être fournie, notamment, au moyen d'une déclaration de confidentialité annexée à la lettre de mission ; d'assurer la mise en œuvre des droits du Client  et, le cas échéant, des autres personnes concernées par les opérations de traitement prévus au Chapitre Ill du RGPD.

Le Client s'engage à communiquer à l’Expert-Comptable les données à caractère personnel, auxquelles il a accès, nécessaires pour fournir les Services. Le Client garantit à l’Expert-Comptable que la communication desdites données est licite et ne contrevient pas à la règlementation en vigueur applicable au traitement de données à caractère personnel.

Dans le cadre de l'exécution de la mission que Vous Nous avez confiée, Nous sommes autorisés à traiter les données à caractère personnel nécessaires pour fournir les services faisant l'objet de la lettre de mission (« Services »).
Les Services sont définis dans la/ les lettre(s) de mission jointe(s.) 

L'Expert-Comptable et le Client déterminent conjointement les finalités et/ou les moyens du traitement de données à caractère personnel à mettre en œuvre pour fournir les Services.
A ce titre, l’Expert-Comptable et le Client sont qualifiés de responsables conjoints du traitement

En tant que responsables conjoints du traitement, l’Expert-Comptable et le Client sont tenus de respecter les obligations prévues par la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE {le « RGPD »). 
L'Expert-Comptable et le Client ont l'obligation de définir, dans la lettre de mission, leurs obligations respectives en matière de protection de données à caractère personnel de manière transparente.  

A ce titre la lettre de mission précisera notamment :
que l’Expert-Comptable est autorisé à traiter les données à caractère personnel nécessaires pour la réalisation des Services ;
la nature des traitements qui seront réalisés sur les données à caractère personnel ;
les catégories de données à caractère personnel faisant l'objet du traitement ;
les catégories de personnes concernées ;
la ou les finalité(s) partagées totalement ou partiellement entre l’Expert-Comptable et le Client;
la possibilité pour l’Expert-Comptable de sous-traiter tout ou une partie des Services.  

L'Expert-Comptable et le Client s'engagent à prendre toutes les précautions nécessaires afin de garantir la sécurité des données à caractère personnel et notamment de les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, altération, diffusion ou accès non autorisés.

Vous vous engagez à Nous communiquer les données à caractère personnel auxquelles Vous avez accès, nécessaires pour la réalisation des Services.
Le Client garantit à l'Expert-Comptable que la communication desdites données est licite et ne contrevient pas à la réglementation en vigueur applicable au traitement de données à caractère personnel.
Il Vous appartient notamment
de fournir l'information aux personnes concernées conformément aux articles 13 et 14 du RGPD que leurs données à caractère personnel feront l'objet d'un traitement dans le cadre des Services que Nous réalisons ;
d'assurer la mise en œuvre des droits des personnes concernées par les opérations de traitement tels que prévus au Chapitre Ill du RGPD;
d'informer la Commission Nationale pour la Protection des Données et, le cas échéant, la/les personne(s) concernée(s) de tout incident (perte/ accès non autorisé), failles de sécurité que Nous serions amenés à vous rapporter.

Il Nous incombe de Vous communiquer, dans les plus brefs délais et au plus tard dans les 72 heures de la connaissance de l'événement, les informations relatives a :
l'exercice d'un droit par une personne concernée ;
la plainte éventuelle de la personne concernée ;
la survenance de tout incident (perte/ accès non autorisé, failles de sécurité) dont Nous aurions eu connaissance pouvant avoir des conséquences directes ou indirectes sur le traitement effectué.

« RGPD » est l’acronyme de Règlement Général sur la Protection des Données (ou GDPR pour General Data Protection Régulation en anglais). Le RGPD est la nouvelle réglementation en vigueur en matière de protection des données et remplace l’ancienne Directive 95/46/CE. Le RGPD est entré en vigueur 25 mai 2018. La loi du 2 août 2002 sur la protection des données à caractère personnel a, quant à elle, revue par la loi du 1er août 2018. Quoique les grands principes du RGPD soient les mêmes que ceux des législations antérieures, il présente aussi certaines nouveautés (en matière de droits accordés aux personnes dont les données sont traitées et d’obligation des sous-traitants, par exemple).

Nous avons intégré les 5 grands axes suivants dans les processus d’entreprise :
Registers : la revue de tous les traitements de données (data flows) et l’établissement des registres des données pour chaque activité/entité du groupe FIDUCIAIRE WBM.
Governance : la revue et l’adaptation des politiques internes, procédures et processus et, le cas échéant, l’établissement de nouvelles procédures, politiques ou processus.
Vendors & Partners : la revue des clauses contractuelles avec les fournisseurs, sous-traitants et partenaires de FIDUCIAIRE WBM.
Customers : la revue de toutes les clauses contractuelles avec les clients des différentes entités du groupe FIDUCIAIRE WBM en se conformant aux règles générales de l’OEC.
Training & Awareness : la formation et l’information du personnel de FIDUCIAIRE WBM à la problématique de la protection des données.

Se conformer en temps réel aux exigences posées par le GDPR est un défi permanent que FIDUCIAIRE WBM relève au quotidien. Nos équipes intègrent constamment le respect du GDPR dans nos activités au jour le jour ainsi que dans l’élaboration et mise en œuvre de nos processus.

Oui. Une des nouveautés du RGPD est d’imposer dans certains cas aux entreprises de nommer un « Data Protection Officer » (DPO) comme, par exemple, quand les activités de base de l’entreprise en question consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées. Ceci est le cas pour nous qui, dans ses différentes activités, traite un grand nombre de données personnelles de travailleurs, indépendants ou chefs d’entreprises.

Quoique les autorités européennes souhaitent à terme voir se développer des systèmes de certification RGPD, ceux-ci n’existent pas encore. FIDUCIAIRE WBM suivra avec attention le développement des plans de certification futurs et évaluera, le moment venu, l’opportunité d’y adhérer.

Les serveurs de FIDUCIAIRE WBM (sur lesquels sont localisées, par exemple, les données de vos employés pour les prestations de secrétariat social) sont situés en Belgique. Pour certains services spécifiques, des sous-traitants peuvent avoir accès à certaines données personnelles, et ce de manière limitée. Dans ce cas, la politique de FIDUCIAIRE WBM est d’exiger que ces données soient traitées dans l’Union Européenne par ces sous-traitants ou dans des conditions de protection adéquate (par ex : par une entreprise US certifiée « EU-US Privacy Shield » ou avec laquelle des « EU Model Clauses » ont été signées).

Une violation de données (ou data breach en anglais) est tout cas où une violation de la sécurité entraîne de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d'une autre manière. Sont donc par exemple des violations de données au sens du RGPD : l’intrusion sur un serveur avec consultation des données personnelles qui s’y trouvent, la destruction accidentelle (en dehors de toutes les procédures de sécurité informatique prévues pour le faire) d’un disque dur sur lequel se trouve des données personnelles, la divulgation non autorisée de données personnelles sur l’infrastructure du Groupe FIDUCIAIRE WBM.

C’est une question à laquelle il faut répondre activité par activité. Dans un grand nombre d’activités, FIDUCIAIRE WBM est sous-traitant (par ex : l’activité d’administration des salaires dans les différentes entités secrétariat social) car elle traite des données personnelles d’employés sur base d’instructions des employeurs qui sont, eux, les responsables de traitement. Pour d’autres activités, FIDUCIAIRE WBM est responsable de traitement car elle détermine elle-même les finalités du traitement des données et les modalités de celui-ci (par ex. : assurances, enquêtes) ou la loi lui donne cette qualité (ex : contrôle médical).

De manière générale pour ce qui concerne les activités de secrétariat social, l’employeur est le responsable du traitement puisqu'il donne les instructions nécessaires à l’établissement et l’envoi de la fiche de paie. FIDUCIAIRE WBM secrétariat social est le sous-traitant puisqu'il agit sur base de ces instructions. De même, si vous faites appel à un consultant RH de FIDUCIAIRE WBM, vous êtes le responsable du traitement pour les données traitées par ce consultant et FIDUCIAIRE WBM le sous-traitant.

FIDUCIAIRE WBM a mis en place des mesures organisationnelles (nomination d’un DPO, d’un CISO…) et procédurales (procédures, polices, manuel de sécurité) pour assurer la sécurité informatique et physique des données personnelles qu’elle traite. De plus, certaines de ses activités font l’objet de certifications.

Dans le cas où FIDUCIAIRE WBM est sous-traitant (pour le secrétariat social, par exemple), elle vous avertira par le biais d’un formulaire spécifique dans les meilleurs délais. Ce formulaire reprendra toutes les informations nécessaires pour vous permettre de remplir vos obligations de notification à la Commission Nationale pour la Protection des Données (CNPD). Le responsable du traitement (vous pour le secrétariat social, FIDUCIAIRE WBM même pour d’autres missions, cf. ci-dessus) doit dans certaines conditions notifier la CNPD de la survenance d’une violation de données. FIDUCIAIRE WBM dispose d’une procédure et des formulaires adéquats pour vous communiquer dans les délais nécessaires les informations à reprendre dans la notification que vous devriez faire à la CNPD (ou pour remplir sa propre obligation de notification à la CNPD le cas échéant).

En ce qui concerne vos obligations en tant qu’employeur, veuillez trouver ci-après un lien vers la Commission nationale de Protection des Données (CNPD) pour en savoir plus : https://cnpd.public.lu/fr.html Si vous recherchez un modèle de Privacy Policy, contactez votre Consultant.

FIDUCIAIRE WBM ne peut exercer de missions de consultance générale RGPD. Nous vous conseillons cependant d’utiliser l’outil de conformité au RGDP, mis sur pied par la Commission nationale de Protection des Données (CNPD) et disponible en ligne : https://cst.cnpd.lu/portal/.