THY MARCINELLE, STAHLBETEILIGUNGEN BELGIAN BRANCH

Informations sur le traitement des données à caractère personnel des personnes externes

(DERNIÈRE MISE à JOUR: 01/03/2021)

 

Le présent document d’information sur le traitement des données à caractère personnel des personnes externes (ci-après la « Déclaration ») est valable pour les trois entités belges du Groupe RIVA (www.rivagroup.com) mentionnées ci-dessous.

Dans le cadre de ses activités, chacune des entités est amenée à effectuer divers traitements de données, pour lesquels celle-ci est responsable de traitement (au sens de la législation applicable en matière de protection de la vie privée et de traitement des données à caractère personnel).

Ces traitements de données sont effectués conformément à la présente Déclaration et à une politique générale interne de protection des données propre à chaque entité.

Détails des entités :

  • THY MARCINELLE S.A., société de droit belge, dont le siège est sis Rue de l’Acier 1, à 6000 Charleroi, enregistrée auprès de la Banque Carrefour des Entreprises sous le numéro 0437.347.363 ;
  • STAHLBETEILIGUNGEN BELGIAN BRANCH, sise Rue Charles Martel 50, à L-2134 Luxembourg, Luxembourg (Grand-Duché), portant le numéro d’entreprise 0566.987.170.

Coordonnées de contact du délégué à la protection des données (DPO) pour les trois entités : Dpd.belgique[arobase]rivagroup.com.

Ces 3 entités sont désignées ci-après, chacune en ce qui la concerne et séparément, sous le terme « Responsable de traitement », ou « nous ». Dans certains cas (spécifiés ci-dessous), les traitements sont effectués sous la responsabilité conjointe de l’entité concernée et de la société mère du Groupe RIVA, à savoir Riva Forni Elettrici S.p.A., société de droit Italien, dont le siège est sis, Viale Certosa, 249 – 20151 Milan et dont le numéro d’entreprise est 07969220966 (ci-après désignée « RFE »). Dans ces cas, les termes « Responsable de traitement » et « nous » incluent l’entité concernée et RFE. Cette responsabilité conjointe découle du fait que, faisant partie du même groupe de sociétés, RFE est chargée au sein du groupe de la gestion de systèmes informatiques communs, des activités de contrôle intragroupe et de la préparation de documents financiers. Globalement, les responsables conjoints collaborent entre eux afin de respecter les obligations du RGPD. Un accord de responsabilité conjointe a été signé entre les responsables conjoints, dans le respect de l’article 26 du RGPD. Les grandes lignes de l’accord sont mises à la disposition des personnes concernées, et peuvent être obtenues en contactant le DPO.

Ce document informatif ne concerne pas les traitements effectués dans le cadre de l’exploitation du site internet (ou des cookies installés par ce site), ni des traitements effectués dans le cadre de nos activités de recrutement, qui font l’objet de déclarations particulières.

 

  1. Objectif de cette politique

 

  • Information

Cette politique vous informe (en votre qualité de personne concernée) sur la manière dont nous traitons vos données personnelles, en notre qualité de responsable du traitement, conformément à toutes les lois et règlements sur la protection des données et la vie privée en vigueur, y compris le « RGPD » – Règlement (UE) 2016/679 (ci-après dénommé « Lois sur la protection des données »), et, plus particulièrement, en application des articles 13 et 14 du RGPD.

Cette politique a également pour objectif de vous informer sur vos droits concernant le traitement de vos données à caractère personnel.

Le Responsable de traitement s’engage à respecter et protéger les données des personnes physiques rencontrées dans le cadre de ses activités.

Les « Données Personnelles » sont toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Elles incluent donc par exemple (et sans s’y limiter), votre nom, vos adresses privées et professionnelles, numéro de téléphone, adresse email, informations de cartes de crédit ou autres informations de facturation, certaines données concernant vos activités professionnelles, certaines données sur vos activités sur notre site web, et d’autres informations que vous nous communiquez.

La présente Déclaration décrit la manière dont le Responsable de traitement gère les Données Personnelles collectées à la fois via le site Internet du Responsable de traitement et par l’intermédiaire d’autres moyens (par exemple, à partir de formulaires, d’appels téléphoniques, e-mails, bons de commande, ou autres communications avec vous).

Nous traitons vos données en conformité avec toutes les lois applicables concernant la protection des données personnelles et de la vie privée, en ce compris le « GDPR » – Règlement Général sur la Protection des Données (EU) 2016/679.

En accédant et en utilisant le Site Internet du Responsable de traitement, en bénéficiant des services du Responsable de traitement, en achetant ou fournissant des produits ou services au Responsable de traitement, ou en fournissant d’une quelconque autre manière vos données au Responsable de traitement (notamment dans le cadre d’une relation d’affaires), vous reconnaissez avoir pris connaissance et, le cas échéant lorsque cela est nécessaire, acceptez les termes de la présente Déclaration, ainsi que les traitements et transferts de Données Personnelles effectués conformément à cette Déclaration.

 

  • Consentement éclairé

Dans certains cas (spécifiés ci-dessous), la base juridique de notre traitement est votre consentement éclairé. Dans de tels cas, l’autre objectif de cette politique est de vous fournir les informations nécessaires pour obtenir un consentement valide de votre part.

Lorsque notre traitement de données personnelles est basé sur votre consentement, vous avez le droit de retirer votre consentement à tout moment, sans que ce retrait ne puisse toutefois affecter la licéité du traitement effectué préalablement à ce retrait. Pour retirer votre consentement, vous êtes invité à utiliser les procédures de désinscription facile qui vous sont fournies par nos outils de communications ou en nous envoyant un courrier électronique (à l’adresse indiquée ci-dessous).

Lorsque notre traitement de données personnelles est basé sur votre consentement, il est de notre devoir de pouvoir démontrer que vous avez consenti au traitement de vos données personnelles. Pour ce faire nous conservons des données relatives à votre consentement aussi longtemps que nous avons besoin de démontrer notre pleine et entière conformité aux Lois sur la protection des données.

Si vous avez moins de 16 ans, il est de notre devoir de faire des efforts raisonnables pour vérifier, dans de tels cas, que le consentement est donné ou autorisé par le titulaire de l’autorité parentale, tenant compte de la technologie disponible. Ceci explique pourquoi, le cas échéant, nous pouvons être amenés à demander plus d’informations sur ce titulaire de l’autorité parentale.

 

 

  1. Information sur les différents traitements de données personnelles

 

Dans cette section, pour chaque traitement que nous effectuons, nous vous fournissons des informations sur :

  • Les finalités du traitement pour lesquelles les données personnelles sont destinées (pourquoi nous traitons vos données);
  • Les bases légales du traitement (et le cas échéant, l’intérêt légitime poursuivi par nous ou par un tiers) ;
  • Les catégories de données personnelles concernées (quels types de données sont traitées);
  • Les sources de vos données ;
  • Le cas échéant, les destinataires, ou catégories de destinataires de données personnelles (avec qui nous partageons les données) ;
  • La durée de conservation des données personnelles, ou si ce n’est pas possible de le préciser, le critère utilisé pour déterminer cette durée ;
  • Le cas échéant, le transfert de données personnelles à des destinataires dans des pays tiers à l’UE ou à des organisations internationales et les garanties permettant ce transfert;

Afin d’être aussi transparente et clair que possible, cette information est présentée dans le tableau ci-dessous, et est fournie par traitement (et mentionne, le cas échéant, l’éventuelle responsabilité conjointe avec RFE par rapport au traitement) :

 

Gestion de clientèle et de commandes

(responsabilité conjointe de RFE)

Catégories de personnes concernées : Clients

Finalité : Gestion de clientèle et de commandes (suivi et exécution de commandes, informations commerciales, facturation, service après-vente).

Base juridique : RGPD, art. 6, §1 b) (exécution de mesures contractuelles ou précontractuelles), GDPR, art. 6, §1 c) (exécution d’obligations légales et règlementaires : CIR, 315§3 ; CTVA 60§4).

 

Catégories de données : Identifiants classiques (nom, prénom, adresse, téléphone), Identifiants électroniques, Code client, Fonction, Langue, Devise, Représentant, Contenu des communications, Informations commerciales

 

Sources : Personnes concernées

 

Destinataires : Responsable de traitement, administrations publiques dans le cadre d’obligations légales.

Transfert hors UE : Suisse (niveau de protection suffisant confirmé par une décision d’adéquation)

Durée de conservation : 10 ans à partir de la fin du contrat ou jusqu’au retrait du consentement si pas de contrat.

Gestion des fournisseurs

(responsabilité conjointe de RFE)

Catégories de personnes concernées : Fournisseurs

Finalité : Gestion des fournisseurs (sélection, suivi des commandes, comptabilité et administration, contrôle qualité).

Base juridique : RGPD, art. 6, §1 b) (exécution de mesures contractuelles ou précontractuelles).

Catégories de données : Identifiants classiques (nom, prénom, adresse, téléphone), Identifiants électroniques, Données administratives, Contenu des communications.

Sources : Personnes concernées (ou leur employeur).

Destinataires : Responsable de traitement (service des achats / service logistique).

Transfert hors UE : Suisse (niveau de protection suffisant confirmé par une décision d’adéquation)

Durée de conservation : 10 ans à partir de la fin du contrat ou jusqu’au retrait du consentement si pas de contrat.

Prospection Catégories de personnes concernées : prospects.

Finalité : prospection générale, développement de l’entreprise.

Base juridique : RGPD, art. 6, §1 f) (intérêt légitime : prospection de clientèle professionnelle, développement des activités économiques).

Catégories de données : Identifiants classiques (nom, prénom, adresse, téléphone), Identifiants électroniques, Données administratives, Données sectorielles, Code client, Fonction, Catégorie / Groupe d’appartenance, Langue, Devise, Particularités financières, Représentant, Transport, Contenu des communications, Informations commerciales.

Sources : Personnes concernées, bases de données officielles, bases de données commerciales (publiques).

Destinataires : Responsable de traitement, intermédiaires commerciaux.

Transfert hors UE : /

Durée de conservation : 3 ans.

Relations publiques

(responsabilité conjointe de RFE)

Catégories de personnes concernées : clients.

Finalité : relations publiques et information de la clientèle (informations, plaintes éventuelles).

Base juridique : RGPD, art. 6, §1 a) (consentement), GDPR, art. 6, §1 c) (exécution d’obligations légales et règlementaires).

Catégories de données : Identifiants classiques (nom, prénom, adresse, téléphone), Identifiants électroniques, contenu des communications, informations commerciales, description de la plainte éventuelle.

Sources : Personnes concernées.

Destinataires : /

Transfert hors UE : /

Durée de conservation : 10 ans à partir de la fin du contrat ou jusqu’au retrait du consentement si pas de contrat.

Email marketing

(responsabilité conjointe de RFE)

Catégories de personnes concernées : clients, prospects.

Finalité : communication par courrier électronique.

Base juridique : RGPD, art. 6, §1 a) (consentement), GDPR, art. 6, §1 f) (intérêt légitime : soft opt-in pour les clients existants).

Catégories de données : Identifiants électroniques.

Sources : Personnes concernées.

Destinataires : /

Transfert hors UE : /

Durée de conservation : jusqu’au désabonnement.

Registre de visiteurs / Sécurité des visiteurs Catégories de personnes concernées : Visiteurs, société extérieure, sous-traitants

Finalité : Contrôle d’accès des visiteurs / Sécurité des visiteurs

Base juridique : RGPD, art. 6, §1 f) (intérêt légitime : garantir la sécurité des biens de l’entreprise et la sécurité des personnes lorsqu’elles se trouvent au sein de celle-ci)

Catégories de données : Heure Entrée, Heure Sortie, Nom du visiteur, Nom de la société extérieure ou sous-traitant, Nom et prénom du travailleur visité, N° d’immatriculation, N° de badge, Signature.

 

Sources : Personnes concernées

Destinataires : Police, autorités judiciaires

Transfert hors UE : /

Durée de conservation : 1 mois

Caméras de surveillance / Sécurité des sites de production Catégories de personnes concernées : Visiteurs

Finalité : Assurer la sécurité du site et des travailleurs, Assurer la protection des biens de l’entreprise, Assurer le controle du processus de production (vérification du bon fonctionnement des installations)

Base juridique : RGPD, art. 6, §1 f) (intérêt légitime : sécurité du site et des travailleurs, protection des biens, controle du processus de production) ; Loi du 21 mars 2007 réglant l’installation et l’utilisation de caméras de surveillance, Chap. II et III

Catégories de données : Images

 

Sources : Caméras installées

Destinataires : Police, autorités judiciaires

Transfert hors UE : /

Durée de conservation : 1 mois

Registre des transporteurs Catégorie de personnes concernées : Transporteurs (chauffeurs)

Finalité : Vérification de l’identité et des capacités des transporteurs.

Base juridique : RGPD, art. 6, §1, f) (intérêt légitime : prévention de la fraude et des infractions, vérification de la bonne exécution des contrats, protection du matériel de l’entreprise, sécurité de l’entreprise).

Catégories de données concernées : nom, prénom, numéro de permis de conduire et date d’échéance

Source : les personnes concernées elles-mêmes

Destinataires : autres entités du groupe RIVA

Transferts hors UE : /

Durée de rétention : 10 ans

Caméra opérationnelle de l’entrée du site de Thy-Marcinelle Catégorie de personnes concernées : personnes dont l’image est saisie par la caméra

Finalité : caméra opérationnelle aux finalités logistiques (assurer le bon déroulement des activités de Thy Marcinelle, en particulier en ce qui concerne l’arrivée et le départ des camions ; vérification des caractéristiques extérieures des camions ; l’organisation de la plateforme de lavage)

Base juridique : RGPD, art. 6, §1, f) (intérêt légitime : bonne organisation des entrées et sorties du site)

Catégories de données : images vidéo

Source : caméra située à l’entrée du site

Destinataires : /

Transferts hors UE : /

Durée de rétention : 15 jours

 

Lorsque la fourniture et le traitement de données personnelles sont nécessaires pour le respect des lois ou d’obligations contractuelles, le fait que vous refusiez de nous fournir les données ou que vous nous fournissiez des données fausses ou incomplètes peut avoir pour conséquence que nous refusions ou que nous rompions toute relation commerciale avec vous ou votre entreprise.

Si nous sommes amenés à traiter les données personnelles pour d’autres finalités que celles établies dans le présent article, nous vous donnerons des informations sur cette nouvelle finalité ainsi que toute autre information pertinente avant de commencer le nouveau traitement.

 

 

  1. Vos droits en tant que personne concernée

 

Les Lois sur la protection des données vous accordent des droits dans certains cas et sous certaines conditions, y compris les droits d’accès, de rectification, de demander d’effacement de vos données personnelles, ainsi que le droit de demander la limitation du traitement ou de vous opposer au traitement. Dans certains cas et sous certaines conditions, vous avez également un droit à la portabilité de vos données.

Veuillez nous contacter tel que précisé dans la section « Qui contacter à propos de vos données personnelles » ci-dessous pour formuler toute requête d’exercice de vos droits ou si vous avez des questions ou des préoccupations concernant la façon dont nous traitons vos données personnelles.

Vous pouvez, en principe, exercer ces droits sans frais. Veuillez toutefois noter que le traitement des demandes externes, qui s’avèrent infondées ou excessives, peut parfois être soumis à des frais administratifs raisonnables.

Veuillez noter que certaines données personnelles peuvent être exemptées des droits d’accès, de rectification, d’opposition, de suppression, de limitation ou de portabilité conformément aux Lois sur la protection des données personnelles ou d’autres législations.

 

  1. Partage de Données Personnelles

 

Toujours en fonction du type de relations que nous entretenons avec vous et des nécessités, le Responsable de traitement peut rendre les Données Personnelles accessibles aux personnes et entités tierces suivantes:

  • Autres membres de notre Groupe (ce qui comprend entre autres le Groupe RIVA (Italie) et Riva France (France)).
  • Nos fournisseurs de services

Les fournisseurs de services tiers externes, tels que des fournisseurs de services de systèmes IT, support, hébergement; fournisseurs de services d’impression, de publicité, d’analyses et recherches de marché; banques et institutions financières qui s’occupent de nos comptes ; assurances ; fournisseurs de document et d’enregistrements de management ; traducteurs ; fournisseurs d’assistance voyage; fournisseurs de services de centres d’appels; et autres vendeurs tiers similaires et fournisseurs de services sous-traités qui nous assistent dans l’accomplissement de nos activités commerciales.

  • Des autorités gouvernementales et des tiers impliqués dans une action en justice

Le Responsable de traitement peut aussi partager les Données Personnelles avec des autorités gouvernementales ou d’autres autorités publiques ou participants à une procédure judiciaire civile et leurs représentants et autres conseillers que nous croyons être nécessaires ou appropriés : (a) pour se conformer à la loi applicable, en ce compris les lois extérieures à votre pays de résidence ; (b) pour se conformer à une procédure judiciaire ; (c) pour répondre aux demandes du public et des autorités gouvernementales (en ce compris les autorités publiques et gouvernementales extérieures à votre pays de résidence) ; (d) pour faire respecter nos termes et conditions ; (e) pour protéger nos opérations ou celles du Groupe de compagnies ; (f) protéger nos droits, vie privée, sécurité, propriété et/ou ceux du Groupe de compagnies, de vous ou d’autres ; et (g) nous permettre de poursuivre valablement des solutions ou de limiter nos dommages.

  • D’autres tiers

Nous pouvons partager des Données Personnelles avec des bénéficiaires ou fournisseurs de services d’urgence (pompiers, police et services médicaux d’urgence) ; d’autres parties à une réorganisation actuelle ou proposée, une fusion, une vente, une joint-venture, une cession, un transfert ou une autre transaction liée à tout ou partie de nos activités, biens ou stock et pour lesquels ces Données Personnelles avaient été collectées.

 

  1. Transferts internationaux

Le Responsable de traitement faisant partie du Groupe Riva, des Données Personnelles font couramment l’objet de transferts vers d’autres pays de l’Union Européenne où sont situées d’autres sociétés du groupe, ainsi qu’en Suisse (qui présente des garanties appropriées et adaptées en ce qui concerne la protection des données personnelles, conformément à une décision d’adéquation de la Commission Européenne).

Compte tenu du caractère international de nos activités, et pour les raisons exposées ci-dessus, il se peut que nous devions également transférer certains document contenant des Données Personnelles à des parties situées dans des pays situés en dehors de L’Espace Economique Européen (en ce compris les Etats-Unis et d’autres pays qui qui connaissent un régime de protection des données différent – et moins protecteur – que celui applicable dans l’Union Européenne, et qui ne  bénéficient pas de décision d’adéquation de la Commission européenne). Par exemple, afin de respecter nos obligations légales ou exécuter nos contrats, nous pouvons transférer des informations à d’autres membres de notre réseau commercial, à des fournisseurs de services, des partenaires commerciaux et des autorités publiques et gouvernementales situés en dehors de l’Union Européenne. Pareil transfert n’est effectué que lorsqu’il est indispensable à l’exécution d’un contrat ou à la constatation, à l’exercice ou à la défense de droits en justice, ou lorsqu’il est effectué avec votre consentement préalable explicite et circonstancié. Le risque de pareil transfert est limité dans la mesure où les données sont limitées à ce qui est strictement nécessaire et imposé par la loi ou les contrats applicables.

 

  1. Sécurité

Le Responsable de traitement prendra les mesures techniques, physiques, juridiques et organisationnelles appropriées, qui sont conformes aux Lois sur la protection des données personnelles.

Malheureusement, aucune transmission de données au travers d’Internet ni aucun système de conservation de données ne peut être garanti comme étant à 100% sécurisé. Si vous avez des raisons de penser qu’une interaction avec nous n’est plus sécurisé (par exemple si vous estimez que la sécurité de toute donnée personnelle que vous pourriez avoir auprès de nous a été compromise), veuillez-nous en informer immédiatement. Voyez la section « Qui contacter à propos de vos données personnelles » ci-dessous.

Lorsque le responsable de traitement fournit des données personnelles à un prestataire de services, le prestataire de services sera sélectionné avec soin et devra utiliser des mesures appropriées pour protéger la confidentialité et la sécurité des données personnelles.

 

 

  1. Conservation des Données Personnelles

Le Responsable de traitement conservera les Données Personnelles pour la période nécessaire pour remplir les objectifs exposés dans cette Déclaration à moins qu’une période de conservation plus longue ne soit imposée ou permise par la loi.

Les délais de conservation des données sont fixés dans notre Politique de rétention des données et diffèrent en fonction des données et des finalités visées.

En règle générale :

  • la conservation de données qui est imposée par la loi est effectuée dans les délais prescrits par celle-ci ;

 

  • les données qui nous sont nécessaire afin de démontrer la bonne exécution de contrats sont conservées pour une période de 10 ans à compter de la clôture du contrat concerné.

 

 

  1. Données Personnelles d’autres individus

Si vous fournissez des Données Personnelles au Responsable de traitement en ce qui concerne d’autres individus, vous consentez: (a) à informer l’individu du contenu de ces Règles; et (b) à obtenir le consentement (lorsque légalement requis) pour la collecte, l’utilisation, la divulgation, et le transfert (en ce compris le transfert transfrontalier) de Données Personnelles en ce qui concerne l’individu conformément à ces Règles.

 

 

  1. Réclamations

Si vous n’êtes pas satisfaits de notre traitement de vos données personnelles et si vous pensez que nous contacter ne résoudra pas le problème, les Lois sur la protection des données vous donnent le droit de déposer une plainte auprès de l’autorité de contrôle compétente (plus d’informations sur le site web de celle-ci) :

https://www.autoriteprotectiondonnees.be

Autorité de Protection des Données
Rue de la Presse, 35
1000 Bruxelles (Belgique)
Tel. : +32 (0)2 274 48 00
Fax : +32 (0)2 274 48 35
Email : contact(at)apd-gba.be

 

  1. Qui contacter à propos de vos données personnelles

 

Les questions ou demandes relatives aux traitements de données personnelles peuvent être adressées à l’adresse suivante : THY MARCINELLE, Délégué à la protection des données, Rue de l’Acier 1, à 6000 Charleroi, Belgique.

 

Les questions ou demandes relatives aux traitements de données personnelles peuvent aussi être adressées au délégué à la protection des données (DPO) pour les trois entités : Dpd.belgique[arobase]rivagroup.com.

 

  • Modifications de cette Déclaration

Nous examinons régulièrement cette Déclaration et nous réservons d’y apporter des changements à tout moment pour prendre en compte des changements dans nos activités ou de nouvelles exigences légales.

Pour vous informer des changements, nous publierons les mises à jour sur notre site web. Dans certains cas (et si nous disposons de votre adresse), nous pouvons aussi vous en informer par email.

Veuillez vérifier la date de « dernière mise à jour » en haut de cette Déclaration pour savoir quand elle a été révisée pour la dernière fois.