Politique de confidentialité
Cette politique s’applique à Liege Airport, Liege Airport Business Park et Liege Airport Security.
1. Introduction
La présente politique (ci-après la « politique ») a pour but de vous informer sur la manière dont nous collectons, utilisons et partageons les données à caractère personnel vous concernant conformément au règlement européen n°2016-679 du 27 avril 2016 (RGPD), à la loi belge du 30 juillet 2018 sur la protection de la vie privée et toute autre réglementation applicable en vigueur (ci-après, ensemble, la « Règlementation ») afin d’accomplir les finalités décrites ci-après.
LIEGE AIRPORT s’engage à limiter les traitements sur les données personnelles aux seuls cas énumérés au sein de la présente politique, dans le respect des principes de minimisation et de transparence, et à mettre à jour cette dernière afin de garantir un haut niveau de protection des données personnelles en conformité avec la Règlementation applicable et l’évolution des menaces.
Dans cette optique, LIEGE AIRPORT attache une grande importance à la protection de vos données personnelles, et de votre vie privée. Tous les processus et procédures de gestion des données personnelles sont conçus pour assurer le respect strict des principes fondamentaux du Règlement général sur la protection des données (RGPD), notamment la licéité, la minimisation, la transparence, la limitation des finalités et la sécurité des informations. LIEGE AIRPORT veille à sensibiliser l’ensemble de ses équipes et parties prenantes à l’importance de la protection des données et à mettre en oeuvre des mesures organisationnelles et techniques adaptées afin de garantir l’accessibilité, la confidentialité et l’intégrité des données personnelles traitées.
L’objectif de la présente politique en matière de protection de la vie privée est de vous donner les informations suivantes :
o Les identités des responsables du traitement des données et délégué à la protection des données (DPO)
o Les catégories de données à caractère personnel collectées et traitées
o Les finalités et bases légales associées au traitement de ces données à caractère personnel
o Les mesures de sécurisation de ces données à caractère personnel
o Les destinataires de ces données à caractère personnel
o La durée de conservation de ces données à caractère personnel
o Les droits des personnes concernées et la manière de les exercer
2. Définitions
- Donnée à caractère personnel (ou données personnelles): toute information se rapportant à une personne physique identifiée ou identifiable.
- Traitement de données à caractère personnel : opération ou ensemble d’opérations effectuées sur des données personnelles ou sur des ensembles de données personnelles, que ce soit par des moyens automatisés ou non, tels que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, diffusion ou autre mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.
- Responsable de traitement : personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel. En d’autres termes, le responsable de traitement décide pourquoi et comment les données personnelles sont collectées et utilisées.
- Délégué à la protection des données (DPO ou DPD): personne ou service nommé par le responsable du traitement ou le sous-traitant pour veiller au respect de la réglementation sur la protection des données à caractère personnel. Le DPO a pour mission principale d’informer et de conseiller l’organisation ainsi que ses membres sur leurs obligations, de contrôler la conformité des traitements de données, de coopérer avec l’autorité de contrôle et de servir de point de contact pour les personnes concernées qui souhaitent exercer leurs droits ou obtenir des informations sur la manière dont leurs données sont traitées.
- Sous-traitant : personne physique ou morale, autorité publique, service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Cela signifie que le sous-traitant agit selon les instructions du responsable du traitement, sans déterminer lui-même les finalités ou les moyens du traitement des données. Son rôle est d’exécuter des opérations de traitement pour le compte d’une organisation, tout en respectant les obligations et garanties imposées par le RGPD, notamment en matière de sécurité, de confidentialité et de traçabilité des données à caractère personnel.
- Finalité d’un traitement de données à caractère personnel : l’objectif spécifique, explicite et légitime poursuivi lors de la collecte et du traitement de ces données. Autrement dit, il s’agit de la raison pour laquelle des données à caractère personnel sont collectées, utilisées et conservées.
- Base légale d’un traitement de données à caractère personnel : fondement juridique qui autorise une organisation à collecter et à traiter des données personnelles. Autrement dit, il s’agit du motif prévu par la réglementation qui légitime ce traitement. Ainsi, toute collecte et utilisation de données à caractère personnel doit reposer sur l’une de ces bases, et le responsable du traitement doit être en mesure de justifier la base retenue pour chaque finalité.
- Clauses contractuelles types : ensemble de dispositions standardisées adoptées par la Commission européenne afin d’encadrer juridiquement les transferts de données à caractère personnel depuis l’Union européenne vers des pays tiers n’offrant pas un niveau de protection adéquat. Ces clauses déterminent les droits et obligations de l’exportateur et de l’importateur des données afin de garantir que le transfert respecte les exigences du RGPD en matière de sécurité, de confidentialité et de respect des droits des personnes concernées.
- Data Processing Agreement (DPA) : accord de traitement des données, est un contrat conclu entre un responsable de traitement et un sous-traitant, lorsqu’un organisme confie à un prestataire des opérations impliquant des données à caractère personnel. Cet accord fixe le cadre juridique et opérationnel dans lequel le sous-traitant traite, pour le compte du responsable du traitement, les données concernées. Ce document, exigé par le Règlement Général sur la Protection des Données (RGPD), formalise la relation entre les parties pour assurer un traitement conforme, sécurisé et respectueux des droits des personnes concernées.
- Non-disclosure agreement (NDA) : ou accord de confidentialité, est un contrat par lequel une ou plusieurs parties s’engagent à ne pas divulguer certaines informations confidentielles obtenues dans le cadre d’une relation professionnelle, commerciale ou contractuelle. Généralement, ce type d’accord vise à protéger des informations sensibles telles que des secrets professionnels, des savoir-faire, des données techniques ou commerciales, des listes de clients, des projets en cours ou encore des stratégies d’entreprise. L’accord de confidentialité est fréquemment utilisé lors de négociations commerciales, de partenariats, de recrutements ou dans tout contexte où des informations sensibles doivent être échangées avec des tiers tout en préservant leur caractère confidentiel.
- Confidentialité, intégrité et accessibilité des données : le principe CIA, acronyme de Confidentialité, Intégrité et Accessibilité (ou Disponibilité), est un cadre de référence essentiel en matière de sécurité des systèmes d’information et de protection des données à caractère personnel. Il vise à garantir que les informations, qu’elles soient publiques, privées ou sensibles, soient protégées de manière adéquate contre les risques, les menaces et les usages non autorisés.
3. Identités du responsable de traitement et du délégué à la protection des données (DPO)
Le groupe LIEGE AIRPORT représenté par LIEGE AIRPORT et ses filiales LIEGE AIRPORT SECURITY et LIEGE AIRPORT BUSINESS PARK (ci-après « LIEGE AIRPORT »), agit en qualité de responsable du traitement, au sens du RGPD.
Le Délégué à la Protection des Données (DPO) peut être contacté à l’adresse dpo@liegeairport.com pour toutes les questions relatives au traitement de vos données à caractère personnel et à l’exercice de vos droits que confère le RGPD.
4. Catégories de données traitées
Les catégories de données à caractère personnel traitées par LIEGE AIRPORT peuvent inclure notamment :
o Des données d’identification (ex : nom, prénom, adresse postale, courriel, téléphone),
o Des données relatives à la vie professionnelle (ex : fonction, société),
o Des données d’authentification (ex : identifiant),
o Des informations financières et d’ordre économique (ex : numéro de compte bancaire, historique de paiements, etc.),
o Des données RH pour le personnel (ex : salaire, numéro de registre national, etc.),
o Des données de géolocalisation (ex : logs badges d’accès, numéro de vol, lieux de départ et d’arrivée, etc.),
o Des informations de connexion ou de navigation sur les plateformes numériques de l’aéroport (ex : logs de connexion, préférences cookies, adresse IP, etc.),
o Toute autre catégorie de données strictement nécessaire à la gestion des activités ou obligations réglementaires de LIEGE AIRPORT.
Toutes les données sont collectées dans le respect de la finalité poursuivie, de manière licite et traitées conformément à la Règlementation applicable.
5. Finalités et bases légales des traitements de données à caractère personnel
5.1 Finalités
Les données personnelles sont collectées pour les finalités suivantes :
o Garantir la sécurité et sûreté des installations,
o Gérer des candidatures aux fins de recrutement,
o Analyse statistique de la fréquentation des sites internet et solutions digitales,
o Gestion des cookies et préférences utilisateur lors de la navigation sur les sites internet et solutions digitales,
o Fournir un support technique et une maintenance pour permettre le bon fonctionnement et la sécurité des plateformes digitales proposées et des sites internet,
o Améliorer les fonctionnalités et la qualité de la navigation sur les solutions digitales et sites internet en réalisant des tests, recherches, analyses, études et sondages,
o Réaliser des opérations de prospection commerciale,
o Inviter à des évènements que nous organisons, seuls ou en partenariat,
o Inviter à participer à nos enquêtes de satisfaction clients, à nos concours publicitaires et promotions diverses,
o Se conformer aux obligations légales auxquelles nous sommes soumis,
o Exécuter et de faire respecter l’ensemble de nos contrats et services délivrés,
o Exécuter toute autre finalité strictement nécessaire au bon déroulement de nos activités.
Si nous étions amenés à devoir collecter d’autres données ou à traiter les données à caractère personnel pour d’autres finalités que celles évoquées dans la présente politique, toutes les informations sur cette nouvelle finalité ainsi que toute autre information nécessaire seraient préalablement communiquées aux personnes concernées. De même, toutes les dispositions, notamment d’informations vers les personnes concernées, selon la ou les (s) base(s) légale(s) liée(s) à toute nouvelle finalité serai(en)t prise(s) avant de commencer le nouveau traitement.
5.2 Bases légales
Chaque traitement de données réalisé par LIEGE AIRPORT se fonde principalement sur une ou plusieurs des bases légales suivantes :
o Le consentement de la personne concernée (ex. : cession de droit à l’image, gestion des cookies sur les sites internet, etc),
o L’exécution d’un contrat ou de mesures précontractuelles (ex. : contrat de travail, recrutement, etc.),
o Le respect d’une obligation légale (ex. : obligations de sûreté),
o L’intérêt légitime du responsable du traitement (ex. : sécurité physique des infrastructures, statistiques, etc.).
6. Destinataires des données à caractère personnel
Les données peuvent être transmises aux services internes de LIEGE AIRPORT autorisés et habilités à les traiter, à ses sous-traitants (ex. : hébergeur, prestataire IT, prestataire de service) en fonction des nécessités, ainsi qu’aux autorités compétentes en cas d’obligation légale.
Sauf obligation légale, comptable ou judiciaire, nous ne divulguerons, louerons, céderons ou transmettrons de quelque manière que ce soit vos données personnelles à des tiers.
7. Transfert hors EU des données à caractère personnel
En principe, LIEGE AIRPORT ne transfère pas vos données personnelles en dehors de l’Union européenne. Si un tel transfert devait avoir lieu, ces données ne seraient pas transférées vers un pays qui n’offre pas un niveau de protection adéquat et il serait encadré par des garanties appropriées (clauses contractuelles types, « data processing agreement », décision d’adéquation, « non-disclosure agreement », etc.).
La communication des données aux autorités compétentes peut être nécessaire.
Avant tout transfert, LIEGE AIRPORT s’engage à ne collaborer exclusivement qu’avec des sous-traitants présentant des mesures techniques et organisationnelles appropriées pour garantir la confidentialité et la sécurité des données à caractère personnel concernées par l’éventuel transfert.
8. Durée de conservation
Vos données personnelles ne sont conservées que pour la durée strictement nécessaire à la réalisation des finalités poursuivies, telles qu’édictées par la présente politique, et ce conformément à la Règlementation et aux lois applicables.
Passé ce délai, vos données personnelles seront supprimées.
9. Droits des personnes concernées
En fonction de la (les) finalité(s) et base(s) légale(s) associées, vous pouvez à tout moment exercer vos droits qui vous sont octroyés conformément au RGPD :
o Demander l’accès à vos données personnelles ;
o Demander la rectification des données personnelles inexactes vous concernant ;
o Obtenir l’effacement de vos données personnelles ;
o Restreindre notre traitement de vos données personnelles ;
o Retirer votre consentement au traitement de vos données personnelles ;
o Vous opposer au traitement de vos données personnelles ;
o Obtenir une copie de vos données personnelles (droit à la portabilité des données).
Pour exercer ces droits, vous pouvez nous contacter à l’adresse suivante : dpo@liegeairport.com.
10. Archivage et mesures de protection des données à caractère personnel
Les données à caractère personnel collectées sont conservées dans un environnement sécurisé de LIEGE AIRPORT, ou de son sous-traitant, accessible uniquement aux personnes autorisées et mandatées à traiter ces données.
LIEGE AIRPORT, et ses sous-traitants, prennent les mesures techniques et organisationnelles appropriées qui sont en conformité avec les Lois en matière de vie privée et de protection des données applicables pour garantir l’accessibilité, la confidentialité et l’intégrité de ces données.
La sécurité des données repose sur des mesures techniques et organisationnelles adaptées, telles que, sans s’y limiter :
o Chiffrement des échanges et des bases de données sensibles,
o Gestion des droits d’accès et authentification forte,
o Surveillance proactive des réseaux et dispositifs anti-intrusion,
o Formations et campagnes de sensibilisation régulières du personnel à la protection des données,
o Procédures de gestion des projets selon le principe de Privacy By Design,
o Modèles contractuels spécifiques au traitement de données à caractère personnel.
LIEGE AIRPORT prend les mesures raisonnables pour s’assurer que les données à caractère personnel traitées sont fiables pour l’utilisation visée, et aussi précises et complètes que nécessaire pour mener à bien les objectifs décrits dans la présente politique.
Si toute personne concernée par la présente politique a des raisons de croire que l’interaction avec LIEGE AIRPORT n’est plus sûre (par exemple, s’il existe une impression que la sécurité des Données à caractère personnel pourrait avoir été compromise), elle est invitée à en avertir immédiatement le DPO à l’adresse dpo@liegeairport.com.
En cas d’insatisfaction de la manière dont sont traitées les données à caractère personnel et s’il persiste un sentiment que contacter LIEGE AIRPORT ne résoudra pas le problème, les Lois en matière de protection de la vie privée applicables reconnaissent le droit, à toute personne concernée, de porter plainte auprès de l’autorité de contrôle compétente : https://www.autoriteprotectiondonnees.be/.
11. Sensibilisation et formations
Dans le cadre de son engagement continu envers la protection des données à caractère personnel, LIEGE AIRPORT accorde une importance primordiale à la sensibilisation et à la formation régulières de l’ensemble des membres du personnel. Ces actions visent à ancrer les démarches de conformité et de sécurité dans les processus quotidiens et les comportements de toutes et tous et à garantir ainsi leur efficacité et leur pérennité.
Les modules de formation adaptés aux différents métiers et niveaux d’exposition visent à faire comprendre les enjeux de la protection des données, à informer sur les bonnes pratiques à adopter au quotidien et à rappeler les risques associés à un traitement inapproprié ou non sécurisé des informations personnelles.
Tout au long de l’année, des rappels réguliers, des campagnes internes et des communications ciblées viennent renforcer les connaissances et encourager la vigilance de toutes et tous face aux évolutions technologiques et aux nouvelles menaces.
Par ailleurs, LIEGE AIRPORT porte une attention particulière à la sensibilisation et à la responsabilisation de ses fournisseurs et de sa clientèle concernant la protection des données à caractère personnel. Dans le cadre de ses relations contractuelles et opérationnelles, LIEGE AIRPORT veille à ce que des exigences claires en matière de confidentialité et de sécurité soient posées pour garantir que chaque partenaire externe adopte les standards adéquats et respecte les principes du RGPD. Cette approche proactive vise à étendre la culture de la sécurité au-delà de l’organisation, renforçant la vigilance commune face aux enjeux de la vie privée.
12. Révision et mises à jour
Nous pouvons être amenés à modifier la présente politique, afin de nous conformer aux évolutions réglementaires, jurisprudentielles, éditoriales ou techniques.
Le cas échéant, nous changerons le numéro de « révision » et indiqueront la « date » à laquelle les modifications ont été apportées.
Nous vous conseillons de consulter régulièrement cette politique, également disponible sur notre site internet, afin de prendre connaissance des éventuelles modifications ou mises à jour apportées.