- Introduction et responsable du traitement des données personnelles
- Données à caractère personnel qui peuvent être traitées
- Licéité du traitement
- Finalités du traitement
- Destinataires des données
- Mesures de protection des données à caractère personnel
- Durée de conservation des données
- Droits des personnes concernées
- Droit de modifier la politique en matière de traitement des données à caractère personnel
1. Introduction et responsable du traitement
Sibelga est le gestionnaire des réseaux de distribution de gaz et d’électricité en Région de Bruxelles-Capitale. Ses missions d’intérêt public sont principalement encadrées par l’Ordonnance électricité, l’Ordonnance gaz, le Règlement technique électricité et le Règlement technique gaz, tels que mieux définis dans le Glossaire ci-dessous.
Dans le cadre de ses missions de service public et même plus largement au regard de son expertise, Sibelga, à travers son service Technologies, Méthodes et Formations (en abrégé TMFO), répondant également à la dénomination Sibelga Academy, délivre des formations pour son personnel, les personnes qui collaborent régulièrement avec elle, comme toutes autres personnes intéressées par les métiers en rapport avec l’énergie.
Sibelga exerce ses activités à travers le personnel employé dans sa filiale BNO. Sibelga et BNO sont donc responsables de traitement conjoints.
Les coordonnées des société sont les suivantes :
- Sibelga S.C.,
quai des Usines, 16
1000 Bruxelles
Banque carrefour des entreprises n°0222-869-673
www.sibelga.be
dpo@sibelga.be
- Brussels Network Operations S.C.,
quai des Usines, 16
1000 Bruxelles
Banque carrefour des entreprises n°0881-278-355
www.sibelga.be
dpo@sibelga.be
Sibelga et BNO sont deux autorités publiques, au sens du Règlement Général sur la Protection des Données (RGPD) et de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (M.B. 5 septembre 2018).
Par facilité, il sera fait usage de l’appellation Sibelga pour identifier les responsables conjoints de traitement.
Conformément au Chapitre 3 du Règlement Général sur la Protection des Données , cette politique vise à informer les personnes concernées quant aux traitements de données personnelles effectués par Sibelga.
2. Données à caractère personnel qui peuvent être traitées
Dans le cadre des formations, Sibelga est amenée à traiter les données à caractère personnel suivantes :
- Nom-prénom ;
- Adresse e-mail ;
- Numéro de GSM;
- Sexe ;
- Préférence linguistique ;
- Numéro de registre national* ;
- Plaque d’immatriculation ;
- Images prises par les caméras de surveillance ;
- Photo d’identité sur le Pass métier ;
- Photos/films enregistrés à l’occasion de certains évènements ;
- Certifications obtenues ** ;
- Suivi des certifications métier.
*Le numéro de registre national est traité comme identifiant unique afin de consulter la base de données de Synergrid et de la mettre en concordance avec celle de Sibelga, au niveau des certifications métier. Il est stocké de manière sécurisée et n’est utilisé qu’à cet effet.
**Certaines certifications sont mentionnées sur un badge personnel (Pass métier) soit en toutes lettres, soit via un QR Code, soit via un code-barre. Ce QR Code ou code-barre détaille les certifications obtenues et précise leur validité.
Ces données personnelles sont traitées à partir :
- des informations communiquées directement par la personne concernée, via le site internet ou via d’autres canaux ;
- des informations collectées indirectement à partir des données communiquées par un employeur ou un cocontractant de la personne concernée.
Les personnes concernées sont les personnes qui sont intéressées par une formation, suivent une formation, ont obtenu une certification etc.
3. Licéité du traitement
Sibelga traite les données personnelles en vue de :
- L’exécution de ses obligations légales et de ses missions d’intérêt public à savoir la gestion des réseaux par du personnel qualifié ;
- L’exécution des contrats de formation auxquels la personne concernée est partie, soit directement, soit indirectement par l’intermédiaire d’une société ;
- Le cas échéant et dans une mesure limitée, assurer la sécurité de son site sur base de son intérêt légitime (caméras).
En dehors des cas précisés ci-dessus, Sibelga ne traite des données à caractère personnel qu’avec le consentement de la personne concernée et, dans ce cas, conformément aux exigences du Règlement Général sur la Protection des Données.
4. Finalités du traitement
Sibelga traite les données en vue de :
- Délivrer une formation aux personnes concernées ;
- Délivrer des certifications métier ;
- Vérifier les certifications au niveau sectoriel ;
- Effectuer une enquête pour vérifier la qualité du service fourni.
5. Destinataires des données
En principe, les données sont traitées par Sibelga uniquement. Dans le cadre d’obligations légales, les données peuvent être communiquées à des autorités publiques et/ou judiciaires, dont Synergrid.
Les données peuvent être traitées par des sous-traitants, notamment des collaborateurs IT de Sibelga. Sibelga veille en toute hypothèse à faire appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement général sur la protection des données et garantisse la protection des droits de la personne concernée, et à conclure des contrats au sens de l’article 28 du règlement général sur la protection des données.
Les données ne sont pas divulguées à des tiers autres que les catégories mentionnées dans la présente politique, et ne servent pas à des fins promotionnelles, commerciales ou de marketing direct.
6. Mesures de protection des données à caractère personnel
Sibelga prend les mesures physiques, techniques et organisationnelles nécessaires afin de prévenir toute destruction accidentelle ou illégale, perte accidentelle, changement non-autorisé, divulgation ou accès non-autorisé, abus, et toutes autres formes illégales de traitement des données à caractère personnel.
Ces mesures varient en fonction du type de données traité et de comment ces données sont collectées et/ou conservées. Le cas échéant, les mesures de sécurité comprennent la garantie d’intégrité des communications et des données pendant leur stockage au moyen des standards appropriés, les mesures de protection réseau, le contrôle d'accès, les systèmes de détection et de prévention de menaces, la séparation des tâches et les protocoles de sécurité similaires.
Le détail de ces mesures s’inscrit dans une politique de sécurité dont le contenu et l’opérationnalisation sont régulièrement éprouvés par des audits internes et externes.
Les mesures de protection portent notamment sur :
- la gestion des accès aux données,
- les principes de protection des données dès la conception et de protection des données par défaut,
- le principe de minimisation des données traitées,
- la sécurité physique,
- la sécurité informatique,
- la formation du personnel à la sécurité informatique comme à la confidentialité des données personnelles,
- la sélection et le contrôle des sous-traitants.
Sibelga tient à jour des politiques relatives à ces mesures de protection. Ces politiques sont mises à disposition de son personnel et de ses sous-traitants, notamment sous une forme claire et compréhensible.
Ces mesures de protection des données sont en constante évolution.
Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des clients finals, Sibelga effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
7. Durée de conservation des données
Sibelga conserve les données le temps nécessaire à la réalisation des finalités reprises ci-avant :
- Sibelga conserve les données personnelles obtenues dans le cadre de l’exécution d’un contrat pendant 5 ans après la fin du contrat et plus longtemps si un contentieux survient (soit le temps nécessaire à la solution du contentieux), sans préjudice d’une période d’archivage de trois ans ;
- Sibelga conserve les données relatives à une certification métier durant la période où la personne concernée est en activité, sans préjudice d’une période d’archivage de trois ans après la cessation de l’activité de la personne concernée.
8. Droits des personnes concernées
La réglementation relative à la protection confère des droits aux personnes concernées.
L’exercice de ces droits est gratuit et est traité dans les délais légaux et avec la plus grande attention.
Les droits des personnes concernées sont de plusieurs ordres.
8.1 Droit à l’information et à l’accès aux données
Sibelga informe les personnes concernées du fait qu’elle traite leurs données à caractère personnel. Cette information se retrouve dans la présente politique. La présente politique est publiée sur le site Internet de Sibelga Academy (https://academy.sibelga.be/fr/) et il y est renvoyé lorsque Sibelga communique avec les personnes concernées.
Chaque personne a également le droit d’accéder à ses données et de connaître certaines informations relatives à ces données et, notamment :
- Les objectifs du traitement,
- Les catégories de données à caractère personnel traitées,
- Les destinataires ou catégories de destinataires des données,
- Dans la mesure du possible, le délai de conservation des données,
- Le droit de déposer plainte auprès de l’Autorité de protection des données,
- Les informations relatives à l’origine du traitement des données si celles-ci ne sont pas obtenues directement par Sibelga,
- L’existence éventuelle d’une prise de décision automatisée, notamment d’un profilage.
8.2 Droit de rectification
Chaque personne physique a le droit de demander à Sibelga de compléter ou de rectifier ses données à caractère personnel si elles sont inexactes ou incomplètes. Ce droit de rectification ne s’applique cependant pas dans la mesure où Sibelga doit respecter une obligation légale ou exécuter une mission d’intérêt public.
8.3 Droit à l'effacement (« droit à l'oubli »)
Chaque personne physique a le droit d’obtenir l’effacement de ses données à caractère personnel lorsque :
- les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière ;
- la personne concernée retire le consentement sur lequel est fondé le traitement et qu’il n'existe pas d'autre fondement juridique au traitement ;
- la personne concernée s'oppose au traitement et qu’il n'existe pas de motif légitime impérieux pour le traitement ;
- les données à caractère personnel ont fait l'objet d'un traitement illicite ;
- les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel Sibelga est soumise.
Ce droit à l’oubli ne s’applique cependant pas dans la mesure où Sibelga doit respecter une obligation légale ou exécuter une mission d’intérêt public.
8.4 Droit à la limitation du traitement
Chaque personne a le droit d'obtenir que Sibelga limite le traitement de ses données lorsque l'un des éléments suivants s'applique :
- la personne conteste l'exactitude des données à caractère personnel : dans ce cas, l’utilisation des données est limitée durant la période pendant laquelle Sibelga vérifiera l'exactitude des données ;
- le traitement est illicite et la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation ;
- Sibelga n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice ;
- la personne concernée s'est opposée au traitement de ses données pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par Sibelga prévalent sur ceux de la personne concernée.
Lorsque le traitement a été limité, ces données ne peuvent, à l'exception de la conservation, être traitées qu'avec le consentement de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice, ou pour la protection des droits d'une autre personne physique ou morale, ou encore pour des motifs importants d'intérêt public.
Avant que la limitation du traitement ne soit levée, Sibelga informera la personne concernée qui a obtenu la limitation du traitement.
8.5 Droit à la portabilité des données
Chaque personne a le droit de recevoir ses données à caractère personnel et a le droit de transmettre ces données à un autre responsable du traitement sans que Sibelga y fasse obstacle, lorsque le traitement est fondé sur le consentement ou sur un contrat et que le traitement est effectué à l'aide de procédés automatisés. Ce droit ne s'applique pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont Sibelga est investie.
Lorsque la personne concernée exerce son droit à la portabilité, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.
8.6 Droit d’opposition et prise de décision individuelle automatisée
Chaque personne a le droit de s'opposer au traitement de ses données, pour des raisons tenant à leur situation particulière, sauf si ce traitement est fondé sur la nécessité de ce traitement à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi Sibelga.
Dans ce cas, Sibelga ne traitera plus les données à caractère personnel, à moins qu'elle ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice.
Pour autant qu’une telle décision ne soit pas nécessaire à l'exécution d'un contrat entre la personne concernée et un responsable du traitement, qu’elle soit autorisée par le droit positif ou que la personne a donné son consentement, chaque personne a le droit ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage.
8.7 Modalités d’exercice des droits visés aux points 8.1. à 8.6
Chaque personne peut exercer les droits visés aux points 8.1. à 8.6. ci-dessus en adressant une demande écrite et signée à :
- Sibelga S.C.R.L.
Délégué à la Protection des Données
Quai des Usines, 16
1000 Bruxelles
dpo@sibelga.be
La preuve de l’identité de la personne exerçant ses droits sera demandée (copie de la carte d’identité de la personne concernée et, le cas échéant, mandat conforme de celle-ci).
Sibelga s’efforcera de répondre dans les plus brefs délais et, en tout cas, dans le respect de ses obligations légales et réglementaires.
8.8 Droit de s’adresser à l’Autorité de Protection des données
Chaque personne peut également s’adresser à l’Autorité de Protection des Données, le cas échéant, pour déposer une plainte :
- Autorité de Protection des Données
Rue de la Presse, 35
1000 Bruxelles
www.autoriteprotectiondonnees.be
+32 (0)2 274 48 00
9. Droit de modifier la politique en matière de traitement des données à caractère personnel
Cette politique de protection de la vie privée peut être mise à jour périodiquement pour refléter les changements des pratiques de Sibelga en matière de protection des données à caractère personnel et pour tenir compte des évolutions techniques, légales et/ou organisationnelles.
Le comité de direction de Sibelga est chargé de la mise à jour de cette politique pour tenir compte des évolutions techniques et juridiques en matière de protection des données à caractère personnel. Lorsqu’une mise à jour concerne un élément important de la présente politique, elle sera décidée par le Comité directeur.
Ces modifications seront portées à la connaissance du public par leur publication sur le site internet https://academy.sibelga.be/fr/.
Annexe 1 – Glossaire
- Ordonnance électricité : ordonnance du 19 juillet 2001 relative à l'organisation du marché de l'électricité en Région de Bruxelles-Capitale (M.B., 17 novembre 2001), et ses modifications ultérieures ;
- Ordonnance gaz : ordonnance du 1er avril 2004 relative à l'organisation du marché du gaz en Région de Bruxelles-Capitale, concernant des redevances de voiries en matière de gaz et d'électricité et portant modification de l'ordonnance du 19 juillet 2001 relative à l'organisation du marché de l'électricité en Région de Bruxelles-Capitale (M.B., 26 avril 2004), et ses modifications ultérieures ;
- Règlement technique électricité : Décision 80 du 5 décembre 2018 de Brugel relative à l’approbation aux propositions de règlements techniques électricité et gaz présentées par le gestionnaire de réseaux de distribution d’électricité et de gaz SIBELGA (M.B. 05.02.2019) ;
- Règlement technique gaz : Décision 80 du 5 décembre 2018 de Brugel relative à l’approbation aux propositions de règlements techniques électricité et gaz présentées par le gestionnaire de réseaux de distribution d’électricité et de gaz SIBELGA (M.B. 05.02.02019) ;
- Règlement Général sur la Protection des Données (RGPD) : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (J.O.U.E. 4 mai 2016, L.119) ;
- Traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ;
- Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;