Gestion des données personnelles

La présente politique fixe la manière dont nous traitons les informations que nous recueillons à votre sujet quand vous visitez notre site (notaireravet.be)

Qui sommes nous

Dénomination : Louis RAVET, Société Notariale
 
Louis RAVET, Société Notariale SRL
Adresse : Rue Thibaut, 8 boîte 10, 5190 Jemeppe-sur-Sambre, Namur
Numéro BCE : 0692749947

Numéro de téléphone : +32 (0) 71 78 50 08
Email : louis.ravet@belnot.be


Préambule

Coordonnées de l'organisme

Louis RAVET est responsable des traitements effectués sur vos données à caractère personnel au sein de son Etude

Numéro BCE : 0692.749.947
Adresse : Rue Thibaut, 8/10 à S190 JEMEPPE—SUR—SAMBRE

Coordonnées du délégué à la protection des données

Dénomination : Privanot asbl.
Adresse : Rue de la Montagne 32, 1000 Bruxelles.
Email : info@privanot.be.

Objectifs de la politique

La présente politique garantit, conformément aux obligations prévues par le Règlement Général à la protection des données (UE) 2016/679 et les autres lois en vigueur que les mesures techniques et organisationnelles appropriées ont été mises en place de façon à être opérationnelles, de manière à assurer un niveau de protection adéquat des données à caractère personnel traitées tout en tenant compte :
- de la nature des données à caractère personnel traitées et de Ieur traitement ainsi que des exigences en matière de confidentialité, intégrité et disponibilité ;
- des exigences légales ou réglementaires d'application ;
- de la taille de l'organisme ;
- de l'importance et de la complexité des systèmes d'information, systèmes informatiques et applications concernés ;
- de l'ouverture de l'organisme vers l'extérieur ainsi que des accès depuis l'extérieur ;
- des risques encourus tant pour l'organisme lui-même que pour les personnes dont les données à caractère personnel sont traitées ;
- de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures.

Spécifiquement, la présente politique garantit la protection des données récoltées auprès des diverses sources officielles auxquelles l'organisme à accès.

De manière plus générale, la présente politique permet également de garantir la protection des autres données à caractère personnel et de l'information traitées par l'organisme.

Evaluation des risques

Une évaluation des risques encourus a été réalisée et les mesures de protection des données ont été définies en conséquence dans un plan d'actions.

Les traitements de données à caractère personnel sont documentés et repris dans un registre spécifique : le « registre des traitements ».

Classification de l'information

Information confidentielle

L'information dont la diffusion libre et sans restriction, la modification, l'utilisation abusive ou la mauvaise utilisation entraineraient un impact négatif significatif sur I’organisme est considérée comme confidentielle. La majorité des données à caractère personnel sont par nature considérées comme confidentielles.

Information interne

L'information dont la diffusion libre et sans restriction, la modification, l'utilisation abusive ou la mauvaise utilisation entraineraient un impact négatif sur l'organisme est considérée comme interne.

Information publique

L'information dont la diffusion libre et sans restriction n'entraineraient pas d'impact négatif sur I’organisme est considérée comme publique.

Information du personnel

Le personnel interne et externe impliqué par la présente politique a été informé de ses devoirs de confidentialité et de sécurité vis-à-vis des informations traitées découlant aussi bien des différentes exigences légales que de la politique de sécurité de l'information.

Des instructions découlant de la politique de sécurité de l'information et du règlement de travail précisent les règles spécifiques à suivre pour la protection de l'information et les règles d'utilisation du matériel informatique ainsi que la procédure de contrôle mise en place par l'employeur, notamment dans le cadre de l'utilisation des emails et de l'internet.

Identification des supports d'information

Les supports d'information sont placés dans des locaux identifiés et protégés dont I’accès est limité aux seules personnes autorisées.

Les supports et systèmes d'informations impliquant les stockages d'informations sont les suivants :
- Serveurs installés au sein de l'organisme ;
- Serveurs extérieurs : installés au sein de l'organisme

Aucune information confidentielle ou interne n'est conservée sur le disque dur local d'un poste de travail ou sur un support mobile (clé USB, portable, tablette etc.) sauf si cela s'avère strictement nécessaire à l'accomplissement de la mission professionnelle de l'utilisateur qui a obtenu une autorisation formelle en ce sens de son supérieur hiérarchique, et si les données stockées sur ce support sont chiffrées. Les données sont détruites dès que leur utilisation n'est plus nécessaire à l'accomplissement de la mission poursuivie.

Sécurisation physique des accès

Des mesuresde sécurité adéquates ont été mises en place afin de prévenir les accès physiques non autorisés aux supports et systèmes d'informations impliquant le traitement d'information.

Site A

Accès à l'organisme

L'organisme est ouvert du lundi ou vendredi, sauf les jours fériés :
- Ouverturedesportesextérieuresde 8h30 à 12h30 et de 13h30 à 17h ;
- Bureaux fermés : / 
- Les clients et visiteurs entrent dans le hall d'entrée en sonnant et s'annonçant et patientent dans le hall d'entrée jusqu'à une prise en charge par le personnel de l'accueil.
- Alarme active : quand tout le monde a quitté l'étude.

Sécurité physique et environnementale

Mesures générales

Les mesures de sécurité nécessaires ont été mises en place afin de prévenir les dommages physiques pouvant compromettre l'information.

Une alarme incendie, des détecteurs de fumée et extincteurs sont placés dans l'organisme.

Les archives sont classées dans un local protégé par une porte anti-feu. Les testaments et autres documents importants sont classés dans un coffre ignifugé et sécurisé.

Mesures particulières dans les salles des serveurs de l'organisme

La température est constante grâce à un système de climatisation. Un système de détection et de protection contre les incendies a été installé. Une alimentation alternative a été mise en place afin de garantir la continuité du service pendant une courte durée.

Sécurisation du réseau

L'organisme vérifie que le réseau, son contenu et son utilisation sont gérés et contrôlés de façon adéquate afin de le protéger contre les menaces et de garantir de façon efficace la protection des systèmes et des applications qui utilisent le réseau.

Un système de pare-feu a été installé et correctement configuré au niveau du périmètre extérieur du réseau. Seuls les ports strictement nécessaires aux bonnes opérations de l'organisme sont ouverts vers le monde extérieur.

Un accès sécurisé au réseau est mis en place pour le personnel qui doit y accéder ; la connexion à distance au réseau (par exemple afin d'effectuer du télétravail ou pour permettre à un fournisseur d'effectuer une opération de maintenance) passe par une authentification à facteurs multiples.

La connexion à distance au réseau se fait uniquement à l'aide de systèmes dont la protection et les mesures de sécurité sont contrôlées par l'organisme et qui répondent au minimum aux exigences décrites dans cette politique.

Sécurisation des serveurs, postes de travail et systèmes

Une solution anti-malware a été installé sur chaque serveur et poste de travail. La base de données des définitions des malware de chaque solution anti-malware est régulièrement mise à jour.

Chaque système d'exploitation, logiciel et composant installé sur les systèmes d'information tels que les serveurs, les postes de travaii, les pares-feux et auires systèmes font régulièrement I’aùjet de mises ä jaur de sécurité et sont encore supportés par le constructeur.

Les sessions des utilisateurs se verrouillent ou arrivent à péremption suite à un délai raisonnable.

Gestion des copies de sécurité (backups)

Un système de backups réguliers est mis en place et couvre toutes les données nécessaires au bon fonctionnement de l'organisme.

Les backups font l'objet des mesures suivantes:
- au moins un des backups est conservé sur un site distinct de la salle serveur ;
- les données faisant l'objet de backups sont chiffrées ;
- la clé de déchiffrement de backups est sécurisée, dans un système d'information distinct du lieu de stockage de backups ;
- les backups sont soit déconnectés de tout réseau, soit immutables (impossibilité de supprimer les backups depuis le réseau d'où les données de backups sont envoyées) ;
- une notification régulière de la réussite ou de l'échec de la prise de backups est envoyée à l'organisation / un monitoring en temps réel est mis en place ;
- les backups font l'objet de tests de restauration réguliers, à une fréquence de maximum 1x par an.

Destruction des données

Les documents papiers contenant de l'information confidentielle ou interne sont détruits de manière sécurisée. Plus particulièrement, les documents papiers contenant des données à caractère personnel sont détruits lorsque la période de rétention de ces données, telle que définie dans le « registre des traitements », est atteinte.

Les documents sont brulés.

Les données à caractère personnel sont effacées des systèmes d'information lorsque la période de rétention de celles-ci, telle que définie dans le « registre des traitements », est atteinte.

Lors du remplacement de matériel informatique, les données des supports contenant des informations confidentielles ou internes sont effacées de manière sécurisée (effacement par le fournisseur informatique qui remet une notification ou un certificat de destruction de données sécurisée) ou Ieur support est détruit de manière suffisante à rendre les données inexploitable (destruction de disques durs à l'aide d'un marteau ou d'une foreuse).

Sous-traitance

Tout sous-traitant de données s'est engagé contractuellement à respecter les mesures adéquates de sécurité et de protection des données.

Sécurisation logique des accès

Les accès de toute nature aux informations confidentielles ou internes se font par le biais d'un système d'identification, d'authentification et d'autorisation de l'utilisateur. Les autorisations sont configurées de telle sorte que chaque utilisateur n'a accès qu'aux informations confidentielles dont il a besoin dans le cadre de son travail, et a accès à l'ensemble des informations internes. Les accès en écriture aux informations publiques se font par le biais d'un système similaire.

Les données à caractère personnel des sources officielles ne sont récoltées que de manière sécurisée par le biais du portail dédié.

Les accès aux sources officielles et aux systèmes d'information sont adaptés suite aux mouvements de personnel de l'organisation (entrées, changements de rôles et responsabilités, départs).

Les systèmes d'information dont l'authentification nécessite I’utilisation d'un mot de passe sont configurés de manière centralisée afin d'imposer des mots de passe d'une longueur de minimum 10 caractères et dont le contenu inclut des caractères complexes (majuscules, minuscules, symboles et chiffres), ou d'une protection équivalente ou supérieure. Les tentatives infructueuses répétées et successives d'authentification à de tels systèmes entraînent le verrouillage de l'ouverture de sessions du compte utilisateur durant un brève période.

L'accès aux systèmes d'information pouvant être atteints depuis l'extérieur de l'organisme (VPN, email etc.) est protégé par une authentification à facteurs multiples, et s'effectue via des systèmes d'information implémentant les mesures de cette politique.

Chaque utilisateur dispose d'accès nominatifs ou identifiables (les comptes génériques ou partagés sont proscrits).

Une Iiste actualisée des différentes personnes habilitées à accéder aux données à caractère personnel des sources officielles est établie. Cette liste est tenue à la disposition de l'Autorité de protection des données, sur demande.

Journalisation des accès

Les systèmes d'information de l'organisme ont été conçus de manière à permettre une journalisation, un traçage et une analyse des accès des personnes à l'information et aux systèmes d'information (accès directs sur les disques réseaux de l'organisme, accès via les logiciels des sous-traitants, accès au réseau par un sous-traitant dans le cadre de la maintenance etc.).

Le système d'information des sources officielles a été conçu de façon à permettre une journalisation, un traçage et une analyse des accès des personnes et organismes logiques aux sources officielles.

Les éléments suivants sont conservés :
- Les données d'identification de l'utilisateur concerné ;
- Les données d'identification de la personne sur qui une recherche a été effectuée ;
- Le moment de la recherche ;
- La finalité de la recherche (application informatique et/ou dossier concerné).

Surveillance, révision et maintenance

Un contrôle de la validité et de l'efficacité dans le temps des mesures techniques ou organisationnelles mises en place est prévu.

Les systèmes techniques font l'objet de tests et de maintenance. Ceux-ci sont contractuellement prévus si un sous-traitant est impliqué.

La présente politique et les autres documents auxquels il est fait référence, font l'objet de révision régulière.

L'organisme met en place les crédits nécessaires à la surveillance, à la révision et à la maintenance des mesures techniques ei organisationnelles mises en piace.

Gestion des incidents de sécurité

Lorsqu'un incident de sécurité impliquant un traitement de l'information survient, le délégué à la gestion journalière en est immédiatement averti. Ce dernier prend les mesures nécessaires et assigne les tâches aux personnes compétentes afin de remédier à l'incident. Ainsi, l'incident est facilement détecté, suivi et réparé.

Lorsque l'incident concerne une fuite de données à caractère personnel, le délégué à la protection des données en est informé. Lorsqu'un tel incident crée un risque pour les droits et libertés des personnes concernées, la procédure spécifique de notification des atteintes aux données à caractère personnel est suivie.

Revenir à la page d'accueil