1. Quelles démarches Acerta entreprend-elle dans le cadre du RGPD ?

2. Quelles mesures techniques Acerta prend-elle dans le cadre de la protection des données à caractère personnel ?

3. Quelles mesures organisationnelles Acerta prend-elle dans le cadre de la protection des données à caractère personnel ?

4. Quelles mesures Acerta prend-elle afin de préserver les droits des personnes concernées ?

5. Quelles mesures Acerta prend-elle pour détecter des fuites de données ?

6. Quelles mesures Acerta prend-elle pour signaler des fuites de données ?

Le RGPD s’applique à tout collaborateur au sein d’Acerta et à tout traitement de données à caractère personnel au sein d’Acerta. C’est la raison pour laquelle nous avons décidé d’aborder notre conformité comme un projet à l’échelle d’Acerta. Dans ce cadre, nous investissons dans différents domaines et nous nous appuyons sur une feuille de route élaborée en collaboration avec une partie externe qui nous porte assistance. Cette feuille de route se base sur le plan en treize étapes tel que conçu par la Commission sur la vie privée dans le but d’assister les organisations à se conformer au règlement RGPD.

Cette feuille de route contient notamment les éléments suivants :

• intensifier la sensibilisation en matière de vie privée auprès des collaborateurs d’Acerta ;
• la mise en place de registres de traitement et de données ;
• l’ajustement et l’élargissement de la politique de vie privée en apportant des adaptations à la stratégie de vie privée et en élargissant et, le cas échéant, en réécrivant les politiques ;
• la désignation d’un Data Protection Officer affecté à l’ensemble du groupe Acerta ;
• l’élaboration de procédures en vue de l’exécution des droits de l’intéressé ;
• l’adaptation de la gestion des incidents dans le prolongement de l’obligation de notification ;
• l’évaluation de nos fournisseurs et le cas échéant, l’ajustement de la collaboration ;
• la mise en place d’un cadre d’analyse de l’impact sur la vie privée (privacy impact analyse framework) ;
• la supervision des mesures techniques et organisationnelles et leur ajustement le cas échéant.

Chez Acerta, nous utilisons fréquemment des informations qui relèvent de la vie privée. Nous sommes pleinement conscients du caractère sensible de ces informations.
Par le passé, nous avons systématiquement mis en place les meilleures mesures techniques qui soient afin de protéger la vie privée des personnes avec qui nous sommes en contact (clients, collaborateurs, fournisseurs...) avec le plus grand soin possible et conformément à la législation.

• Acerta fait régulièrement appel à une partie externe afin de procéder à des audits sur la protection de ses informations. Ces audits s’appuient sur les normes ISO et nous nous en servons comme fil conducteur pour apporter d’éventuelles améliorations à nos environnements informatiques.
• Acerta fait contrôler chaque nouveau logiciel contre la violation de sécurité et la vulnérabilité par le biais d’un test d’intrusion, aussi appelé test PEN. Ce sont des organismes indépendants externes qui procèdent aux tests d’intrusion. Cette approche garantit la qualité et la sécurité des logiciels que nous nous procurons.
• L’accès à nos systèmes est protégé par un mécanisme de gestion d’accès logique et avancé.

Nous prêtons une attention constante à l’amélioration de nos systèmes. Tel était déjà le cas avant l’entrée en vigueur du RGPD. Le RGPD a permis d’examiner d’éventuelles améliorations supplémentaires.

Chez Acerta, nous utilisons fréquemment des informations qui relèvent de la vie privée. Nous sommes pleinement conscients du caractère sensible de ces informations.

Par le passé, en notre qualité d’organisation, nous avons toujours fait de notre mieux afin de protéger la vie privée des personnes à qui nous proposons nos services (clients, collaborateurs, fournisseurs...) avec le plus grand soin possible et conformément à la législation.

L’introduction du General Data Protection Regulation (GDPR) ou Règlement Général sur la Protection des Données (RGPD) nous incite à affûter davantage notre approche.

Les mesures suivantes ont été prises :

• Acerta a désigné un Data Protection Officer (DPO) pour l’ensemble du groupe Acerta. Ce DPO contrôle l’application correcte de la législation et du cadre réglementaire en vigueur lors de l’exécution des processus d’Acerta.
  DPO: Sarah Peeters
  e-mail: dpo@acerta.be
• Nous avons procédé à la refonte de la structure organisationnelle en matière de gestion des risques et de la vie privée.
• Nous avons mis en place des points de contrôle supplémentaires au sein de nos processus de livraison. Ces points de contrôle supplémentaires visent tout spécifiquement les aspects liés à la vie privée et permettent de garantir l’harmonisation nécessaire.
• Nous avons adapté notre politique de vie privée et les directives applicables en la matière conformément au RGPD. Cette politique de vie privée englobe notamment la stratégie de vie privée menée chez Acerta, notre politique relative à la confidentialité des données, la sécurité des informations, la gestion d’accès logique à nos systèmes…
• Nous avons mis sur pied une campagne de sensibilisation poussée à l’attention des collaborateurs afin de mettre en exergue l’aspect lié à la vie privée et le RGPD.

Acerta reconnaît que le droit à la vie privée est un droit fondamental de tout individu et prend dès lors toutes les mesures nécessaires pour garantir ce droit, conformément à la législation et au cadre réglementaire en vigueur et en sa qualité. Acerta agira dans le plein respect de la législation et mettra en place pour ce faire les procédures et processus nécessaires.

1. En tant qu’organisation amenée à traiter des données à caractère personnel, Acerta transmettra immédiatement au responsable du traitement toute question qui lui est directement adressée par un intéressé pour qui Acerta traite des données à caractère personnel.
2. En tant qu’organisation amenée à traiter des données à caractère personnel, Acerta prévoira les moyens et l’assistance nécessaires afin de répondre aux questions de l’intéressé qui sont posées via le responsable du traitement, conformément à la législation et au cadre réglementaire en vigueur.
3. En tant que responsable du traitement, Acerta répondra aux questions de l’intéressé conformément à la législation et au cadre réglementaire en vigueur.

Toutes les actions sur nos systèmes et sur notre réseau sont minutieusement consignées. En outre, nous avons mis en place plusieurs mécanismes de contrôle qui surveillent nos environnements informatiques et signalent une éventuelle violation.

À l’avenir, Acerta intensifiera les moyens visant à détecter d’éventuelles fuites de données. Nous nous appuyons pour ce faire sur les meilleures technologies disponibles en matière de prévention «data loss», security information and event management (SIEM), ‘behavior analysis’...

Acerta dispose d’un incident management proces qui intègre un canal d’escalade visant à rapporter et à limiter les incidents impliquant la perte de données et d’autres fuites de sécurité. Ce processus incorporera aussi l’obligation de notification, conformément à la législation et au cadre réglementaire en vigueur.

• Tout incident impliquant la perte de données sera notifié au Data Protection Officer d’Acerta et sera consigné dans un registre.
• En tant qu’organisation amenée à traiter des données à caractère personnel, Acerta notifiera tout incident impliquant la perte de données au responsable du traitement dans les délais préalablement définis, conformément à la législation et au cadre réglementaire en vigueur.
• En tant qu’organisation amenée à traiter des données à caractère personnel, Acerta notifiera tout incident d’ampleur majeure, impliquant la perte de données, à l’autorité de contrôle, conformément à la législation et au cadre réglementaire en vigueur avec les informations requises.