Politique de la vie privée

Bright Link S.A. prend soin de votre vie privée et agit toujours conformément aux dispositions des lois belges et européennes applicables à la vie privée, y compris notamment la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et le règlement général sur la protection des données (RGPD). Cette politique de vie privée s’applique à tous nos clients et visiteurs de nos sites web et aux utilisateurs de notre plateforme digitale.

En utilisant notre site web, en utilisant via notre plateforme les produits et services offerts par Bright Link S.A. ou en participant à nos actions, vous acceptez expressément la façon dont Bright Link S.A. recueille et traite les données personnelles.

Lettre de l’administrateur délégué

Le règlement général sur la protection des données (RGPD) est un règlement de l’Union européenne qui, à compter du 25 mai 2018, s’applique à toutes les organisations qui collectent et traitent les données à caractère personnel des citoyens de l’Union. En tant qu’entreprise responsable et tournée vers l’avenir, Bright Link reconnaît au plus haut niveau l’importance et la nécessité de se conformer au RGPD et de veiller à ce que des mesures efficaces soient mises en place pour protéger les données personnelles de nos clients, employés et autres parties prenantes. L’engagement envers la sécurité des données personnelles s’étend aux niveaux supérieurs de l’organisation et sera démontré par des politiques internes pertinentes et la mise à disposition de ressources appropriées pour établir et développer des contrôles efficaces de protection des données et de sécurité des informations.

Afin de respecter nos obligations légales, nous avons mis en place un programme complet pour valider notre utilisation des données à caractère personnel et pour confirmer la base légale de notre traitement. Cette politique de confidentialité mise à jour est disponible sous forme électronique et a été communiquée au sein de l’organisation et à toutes les parties prenantes concernées ainsi qu’aux tiers intéressés. Nous veillerons également à ce qu’un

examen systématique de ce programme soit effectué régulièrement pour nous assurer que ses objectifs soient atteints d’une manière permanente, et que les problèmes pertinents soient rapidement identifiés et traités.

Le cas échéant, une approche d’évaluation de l’impact sur la protection des données conforme aux exigences et aux recommandations du RGPD et aux meilleures pratiques en la matière sera utilisée. La gestion des risques s’effectue à plusieurs niveaux au sein de l’organisation: évaluation des risques pour les données à caractère personnel que nous collectons et traitons, évaluations régulières des risques liés à la sécurité des informations dans des domaines opérationnels spécifiques, évaluation des risques dans le cadre de changements significatifs, y compris les évaluations d’impact sur la protection des données (AIPD)

Nous encourageons tous les employés et toutes autres parties prenantes de notre entreprise

  • veiller à ce qu’ils jouent leur rôle en respectant les principes de la RGPD à tout moment, et en respectant nos objectifs de sécurité des informations.
  • Synthèse

Bright Link S.A. se conforme à tous les principes du RGPD par des mesures organisationnelles et techniques.

Dans ses activités avec ses clients :

Pour les produits PBT entreprises et Balencio, Bright Link agit en tant que « sous-traitant » tandis que le client direct de Bright Link fonctionne comme « responsable du traitement « . En raison de la petite taille de Bright Link, le rôle de « Data Protection Officer » (DPO) ou «Délégué à la Protection des Données» et celui de « Responsable de la Sécurité de l’Information » sont centralisés sous la forte responsabilité du CEO de l’entreprise.

Bright Link utilise plusieurs sous-traitants, principalement pour des raisons techniques, tous sont alignés RGPD.

Le traitement des données de Bright Link consiste en toutes opérations automatisées ou

manuelles appliquées à des données personnelles ou organisationnelles qui permettent

globalement de préserver le capital humain en créant des informations à valeur ajoutée

grâce au traitement des données.

La nature des données à caractère personnel traitées est principalement : caractéristiques personnelles, mode de vie et informations relatives à la santé. Pourtant, les impacts du RGPD sur les activités de Bright Link sont assez limités parce que Bright Link anonymise toutes les sessions individuelles. Le principe de la « pseudonymisation systématique quand, et où elle est possible » est un axiome central de la manière dont Bright Link traite les thèmes de la protection de la vie privée, de la confidentialité des données et du GDPR.

Bright Link a mis en place diverses mesures techniques pour optimiser la RGPD et la confidentialité des données : par l’utilisation de sa plate- forme Cloud et dans la façon dont les données sont gérées et traitées. En outre, Bright Link a également mis en œuvre des mesures organisationnelles visant à assurer un niveau de sécurité des données aussi élevé que possible.

Axe principal de la politique de confidentialité des données : pseudonymisation et anonymisation.

Principales mesures techniques et organisationnelles :

  • Activation du consentement préalable au démarrage de l’enquête
  • Protection de l’enquête par mot de passe personnel
  • Suppression automatique de l’adresse e-mail
  • Rapports PDF cryptés et sécurisés par mot de passe
  • Règle déontologique du « 10 » pour la publication des résultats consolidés ventilés – les résultats individuels sont protégés et non divulgués
  • Les tiers doivent être conformes à la GDPR
  • Sécurité des plates-formes numériques (SSH)
  • Cryptage HTTPS
  • Gestion des risques relatifs aux données personnelles
  • Processus de gestion des incidents de sécurité
  • Évaluations d’impact sur la protection des données

Sur ce site internet :

Les informations confidentielles collectées ne le sont que pour des raisons administratives et de configuration de compte pour les clients « PBT Premium » qui envisagent l’utilisation et le paiement en ligne. Les informations collectées et stockées sont :

  • Prénom
  • Nom
  • Email
  • Téléphone
  • Société
  • N° de TVA
  • L’adresse
  • Le code postal
  • La ville
  • Le pays

Rôles et responsabilités

L’un des attributs clés d’une approche efficace de la protection des données est une attribution claire des rôles, chacun avec des responsabilités définies. Chacun de ces rôles est attribué à des individus ou à des groupes spécifiques dans Bright Link. Il est essentiel que tous les membres de Bright Link comprennent le rôle qu’ils doivent jouer dans la protection des données personnelles que nous détenons et traitons au sujet des personnes.

En nous assurant que les rôles et les responsabilités sont clairement définis, nous sommes en bonne position pour empêcher de nombreux incidents de protection des données affectant des données à caractère personnel et pour réagir efficacement et de manière appropriée, le cas échéant.

Dans le cadre de protection des données pertinent pour notre conformité à la RGPD, les principaux rôles suivants ont été définis :

• Responsable du traitement

• Sous-traitant

  • • Délégué à la protection des données (DPO)
  • Responsable de la sécurité de l’information

Les responsabilités spécifiques de chacun de ces rôles sont définies dans les sections suivantes de ce document.

Responsable du traitement des données à caractère personnel

Par « données personnelles », on entend toute information concernant une personne physique identifiée ou identifiable (ci-après « données ») comme stipulé dans le Règlement général de protection des données.

Par « traitement », on entend toute opération ou tout ensemble d’opérations concernant des données ou un ensemble de données, effectuées ou non à l’aide de procédés automatisés, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou de toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction des données.

Bright Link S.A., chemin du Cyclotron, 6 à 1348 Louvain-la-Neuve, avec numéro d’entreprise 0662.639.464 est le responsable du traitement de vos données (ci-après dénommé « Bright Link S.A. »).

Bright Link S.A. dispose au sein de son entreprise un point de contact en charge de la protection des données. Vous pouvez le contacter pour toute question via : info@brightlink-solutions.com.

Toutefois, pour l’exercice de vos droits, nous vous prions d’utiliser d’abord les possibilités prévues à l’article 5.

  • Sous-traitant

Le GDPR définit un « sous-traitant » comme « une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». Par conséquent, les responsabilités décrites ci-dessous peuvent être attribuées à une personne ou peuvent être considérées comme s’appliquant à l’organisation dans son ensemble. Bright Link agit en tant que sous-traitant pour les clients de Bright Link s’agissant des entreprises PBT et de Balencio.

Le processeur de données (Bright Link) assume les responsabilités suivantes:

  • Veiller à ce que tout traitement de données à caractère personnel soit régi par un contrat ou un autre acte juridique précisant l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel, les catégories de personnes concernées et les obligations et droits du contrôleur;
  • Traiter les données à caractère personnel uniquement sur instructions écrites du responsable du traitement, y compris en ce qui concerne le transfert de données à caractère personnel vers un pays tiers ou une organisation internationale;
  • S’assurer que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée;

Mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité approprié au risque associé au traitement des données à caractère personnel;

  • Obtenir l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement avant d’engager un autre processeur;
  • •  Assister le responsable du traitement dans l’accomplissement de son obligation de répondre aux demandes d’exercice des droits de la personne concernée;
  • Supprimer ou renvoyer toutes les données à caractère personnel au responsable du traitement après la fin de la fourniture des services liés au traitement;
    • Mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le RGPD et permettre et contribuer aux audits, y compris aux inspections, conduits par le responsable du traitement ou un autre auditeur mandaté par le responsable;
  • Conserver un enregistrement de toutes les catégories d’activités de traitement effectuées pour le compte d’un responsable du traitement;
    • Coopérer, sur demande, avec l’autorité de surveillance dans l’accomplissement de ses tâches;
    • Veiller à ce que toute personne agissant sous l’autorité du responsable du traitement ayant accès aux données personnelles ne les traite pas sauf sur instructions du responsable du traitement;
    • Aviser le responsable du traitement sans délai après avoir pris connaissance d’une violation de données à caractère personnel;
    • Désigner un responsable de la protection des données lorsque la RGPD l’exige, publier ses coordonnées et les communiquer à l’autorité de surveillance;
    • Soutenir le responsable de la protection des données dans l’accomplissement de leurs tâches en fournissant les ressources nécessaires à l’accomplissement de ces tâches et à l’accès aux données à caractère personnel et aux opérations de traitement, et en maintenant ses connaissances.
  • Objectif de traitement des données

Le traitement des données de Bright Link comprend toutes les opérations automatisées ou manuelles appliquées aux données personnelles ou organisationnelles qui permettent globalement de préserver le capital humain en créant des informations à valeur ajoutée à la suite du traitement des données. Ceci comprend :

  • Collecte et extraction de données
  • Stockage et gestion des données
  • Organisation et structuration des données
  • Analyse des données
  • Transformation des données en rapports de risque de diagnostic individuels
  • Consolidation, fusion des données et transformation en rapports de risque de diagnostic institutionnel
  • Communication et partage de données avec des personnes autorisées par le responsable du traitement
  • Suppression de données

Plus spécifiquement, les objectifs du traitement de données Bright Link sont les suivants:

  • Créer et diffuser un diagnostic de risque individuel pour la prévention de la fatigue chronique et de l’absentéisme;
  • Détecter rapidement les personnes à risque et les mettre confidentiellement en relation avec les canaux de soutien individuels et appropriés;
  • •  Créer et mettre en place une cartographie globale équilibrée des risques, «bien-être et stress», pour permettre la création et la mise en oeuvre de politiques de prévention améliorées;
  • Analyser les risques de manière consolidée en plusieurs ventilations pour identifier les sous-périmètres prioritaires de l’organisation et permettre ainsi des initiatives de prévention adaptées et ajustées en fonction des risques.
  • Sécurité et confidentialité

Bright Link S.A. a pris toutes les mesures techniques et organisationnelles adaptées pour : protéger les informations et les données recueillies contre la destruction, la perte, la modification non intentionnelle, des dommages, l’accès accidentel ou non autorisé ou tout autre traitement non autorisé de données.

Pour assurer cette sécurité, Bright Link S.A. utilise, entre autres, le cryptage de la communication entre le serveur et votre ordinateur, pare-feux, analyses d’antivirus, contrôles d’accès, logs, back ups.

Le nombre de collaborateurs ayant accès à vos données est restreint et cet accès est uniquement accordé dans la mesure où il est nécessaire à l’accomplissement de leurs fonctions. Si Bright Link S.A. travaille avec des sous-traitants pour la réalisation des différents services et produits qu’elle propose, elle a pris les accords nécessaires avec ces sous-traitants afin d’assurer la protection de vos données. Par ailleurs, nous avons intégré les politiques et procédures nécessaires au sein de notre organisation et avons désigné un responsable pour la protection des données.

  • Nature des données personnelles

Vos données peuvent être recueillies de diverses manières lorsque vous êtes employés d’une entreprise ou organisation cliente de Bright Link S.A. Cependant, Bright Link procède à l’anonymisation totale des informations recueillies et des sessions créées.

Dans le RGPD, on entend par données à caractère personnel toute information concernant une personne physique identifiée ou identifiable («personne concernée»); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques au physique, au physiologique, identité génétique, mentale, économique, culturelle ou sociale de cette personne physique.

Les processus Bright Link correspondent au type de données suivant, répertorié par GDPR:

  • Identifiants individuels directs (nom, sécurité nationale, carte d’identité, passeport, données biométriques, vidéo, image, voix): NON
  • Identifiants individuels indirects (numéros de téléphone, e-mails, adresse): NON
  • Caractéristiques personnelles (sexe, âge, nationalité, niveau d’études) et informations sur les carrières (ancienneté, fonction,

département, statut du contrat): OUI

  • Informations sur le mode de vie (habitudes alimentaires, vie sociale, finances, logistique, articles pour la famille, loisirs, voyages):

OUI

  • Identificateurs individuels numériques (adresse IP, cookies, appareils connectés): NON
  • Suivi et GPS / IOT : NON
  • Réseaux sociaux et comportements Internet: NON

• Enquêtes: OUI

  • • ADN et identificateurs médicaux: NON
  • Données relatives aux religions, à l’orientation sexuelle et philosophique, aux groupes ethniques ou aux opinions politiques:

NON

  • Données relatives à l’affiliation à un syndicat ou à une organisation de travail: NON
  • Données individuelles sur la santé physique ou mentale: OUI
  • Données sur l’administration judiciaire (détention): NON
  • Données financières, d’investissement ou d’assurance (salaires, patrimoine, dettes), pensions, paiements, transactions: NON
  • Prestations de travail (feuille de temps, jours d’absence, clauses de contrat spécifiques, avantages sociaux et en nature, résultats

d’évaluation): NON

  • Nature et droits des personnes protégées

Les personnes suivantes sont des «personnes concernées»:

Particuliers (employés, travailleurs, gestionnaires, agents) sous contrat de travail en cours avec un organisme, une entreprise ou une administration publique.

La personne concernée a des droits dans la RGPD qui sont entièrement conciliées avec l’approche Bright Link et est gérée via le courrier électronique d’assistance de Bright Link, comme indiqué dans le formulaire de consentement obligatoire présenté dans tout démarrage du processus de collecte des données:

• Droit à l’information

  • • Droit d’accès
  • Droit de rectification
  • Droit d’effacement (droit d’être oublié)
  • Droit de restreindre le traitement
  • Droit de notification en cas de rectification ou d’effacement
  • Droit à la portabilité des données
  • Droit d’objection
  • Droit de s’opposer à la prise de décision automatisée
  • Lieu de traitement et transfert international

La plateforme numérique Bright Link est maintenue et gérée en Belgique.

Cependant, le serveur et la base de données sont gérés par Amazon Web Services (AWS), utilisé en tant que sous-traitant pour ses services distants sur le serveur. Ceux-ci sont situés en Europe, en Allemagne, à Francfort.

Les deux mis en place font par conséquent partie de la U.E.

Voir également la présentation de nos sous-traitants agissant pour Bright Link et leur politique de confidentialité spécifique («Rôles et responsabilités»).

Bright Link traite des données à caractère personnel uniquement dans l’Union européenne et ne peut accorder l’accès ou le transfert de données à caractère personnel (ou de toute autre information traitée par un sous-traitant pour le compte du responsable du traitement)

  • un destinataire situé dans un pays hors de l’Union européenne, sans le consentement de ce dernier. cet accès ou transfert préalable par écrit.

Le responsable du traitement peut, à sa seule discrétion, donner un consentement écrit sous réserve du respect d’autres conditions, par exemple la conclusion d’un contrat sur la base de clauses contractuelles types de l’UE.

Cette obligation s’applique sous réserve des dispositions légales contraires du droit de l’Union ou des États membres.

Utilisation des données pour la recherche et objectifs statistiques

Bright Link est une spin-off universitaire et son ADN scientifique reste une valeur importante.

Par conséquent, les sessions de données anonymisées peuvent être traitées ultérieurement

  • des fins de recherche scientifique ou à des fins statistiques (informations relatives au bien-être ou au stress au travail), ce qui implique que les données sont agrégées et / ou que l’identification personnelle de toute personne physique ou de tout répondant ne peut être obtenue, conservée, gérée, utilisée, traitée ou transmise.

Principe de confidentialité

Bright Link, en tant que sous-traitant, ou toute personne agissant sous l’autorité de Bright Link et ayant accès à des données personnelles, ne peut traiter ces données que si elle est tenue de respecter la plus grande confidentialité concernant les données personnelles dont elle aurait connaissance, à moins que la divulgation de ces données à caractère personnel ne soit requise par l’exercice adéquat de leurs fonctions par le droit de l’Union ou d’un État membre auquel le sous-traitant est soumis.

Dans ce cas, le sous-traitant informera le responsable du traitement de cette obligation légale avant de communiquer les données à caractère personnel, à moins que le droit concerné n’interdit cette information pour une raison importante d’intérêt public.

Cookies et autres technologies

Vous pouvez visiter notre site web sans communiquer vos données personnelles.

Notre site web utilise des « cookies », à savoir des petits morceaux d’information qui sont stockés par le navigateur sur votre ordinateur, nous permettant d’enregistrer certaines informations sur les utilisateurs de notre site web (par exemple la langue, la durée de votre visite sur la page,…).

Les cookies seront utilisés sur ces sites web pour être en mesure de vous offrir un meilleur service en nous informant par exemple de votre langue, en vous identifiant lors de votre prochaine visite sur le site web… Ils aident à mieux adapter les sites web à vos besoins, préférences et commodité. Les cookies peuvent également être utilisés pour rendre le contenu ou la publicité d’un site web plus personnalisé. Les cookies eux-mêmes ne peuvent pas collecter des informations stockées sur votre ordinateur ou vos fichiers.

Durée de stockage

Bright Link S.A. garde exclusivement vos données aussi longtemps que nous sommes obligés de les conserver dans le cadre d’une obligation légale ou aussi longtemps que nous pouvons vous servir conformément à notre Politique de vie privée et aux finalités pour lesquelles elles ont été collectées. Dans ce contexte, Bright Link S.A. fera une évaluation annuelle. Bien sûr, vous avez toujours le droit d’invoquer vos droits comme expliqué ci-dessus.

Les risques associés à l’utilisation des applications Internet et en ligne

L’utilisation de nos sites web, des services et produits en ligne implique la connaissance et l’acceptation des caractéristiques et des limites de l’Internet, en particulier en ce qui concerne les performances techniques, les temps de réponse pour consulter, demander ou envoyer des informations, ou les risques d’une interruption, et plus généralement, les risques inhérents à toutes les connexions et les transmissions sur Internet, l’absence de protection de certaines données contre les abus éventuels et les risques de contamination d’éventuels virus circulant sur le réseau.

Modifications

Bright Link S.A. se réserve le droit de modifier la déclaration « Politique de la vie privée ». Cette déclaration a été modifiée et révisée pour la dernière fois le 02.01.2019. Coordonnées de l’entreprise et responsable du traitement :

Dénomination sociale : Bright Link S.A.

6, chemin du Cyclotron

1348 Louvain-la-Neuve

Belgique

TVA BE 0662.639.464

*****

Cet événement est organisé dans le but de présenter le produit PBT premium. N’hésitez pas à vous inscrire en cliquant ci-dessous.