Politique de Protection des Données

1. Objectif de la politique

L’Association pour la Santé au travail des secteurs Tertiaire et Financier (ci-après « ASTF ») s’engage à préserver la confiance des patients, des salariés, des bénéficiaires et des autorités de contrôle lors du traitement des données à caractère personnel. La présente politique a pour objet d’informer sur les modalités de traitement des données à caractère personnel effectuées par l’ASTF en qualité de responsable du traitement.

L’ASTF reconnaît que la protection des données est primordiale et s’engage à mettre en œuvre et à maintenir les mesures requises par la loi, la réglementation applicable et les bonnes pratiques du secteur. Cette politique est notamment alignée sur le Règlement (UE) 2016/679 (RGPD) et la législation pertinente.

Des pratiques conformes en matière de protection des données constituent un élément central de la gouvernance et de la responsabilité de l’organisation. La présente politique définit les exigences minimales applicables au traitement des données à caractère personnel, établit un cadre de gouvernance pour garantir la conformité, précise les responsabilités et décrit les mesures de gestion et de notification des incidents de protection des données.

2. Responsable du traitement

L’ASTF est responsable des données à caractère personnel traitées dans le cadre des activités relevant de la médecine du travail et de la gestion de l’entreprise.

Association pour la Santé au travail des secteurs Tertiaire et Financier (ASTF)
15–17 avenue Gaston Diderich, 1420 Belair, Luxembourg
Tél. : (+352) 22 80 90 1

3. Origine des données collectées

L’ASTF collecte les données à caractère personnel directement auprès des personnes concernées, c’est à dire principalement auprès des patients dans le cadre d’examens médicaux et auprès des salariés dans le cadre des activités de gestion de l’entreprise.

4. Sous traitants

L’ASTF prend toutes les mesures nécessaires pour garantir la sécurité et la confidentialité des données à caractère personnel qu’elle traite. Le service informatique de l’ASTF peut avoir un accès contrôlé aux données afin de corriger des dysfonctionnements informatiques ou d’effectuer des saisies correctives à la suite d’une demande écrite. Dans le strict cadre de ses missions d’archivage électronique, un prestataire externe peut être amené à accéder à vos données, sous réserve d’un contrat de sous traitance et de garanties appropriées.

5. Transferts internationaux de données

L’ASTF n’effectue aucun transfert de données à caractère personnel vers des pays non-membres de l’Union européenne.

6. Principes relatifs à la protection des données

• Loi et loyauté du traitement
  Conformément à l’article 6 du RGPD, tout traitement doit s’appuyer sur une base légale appropriée. L’ASTF identifiera et documentera la base légale de chaque finalité de traitement, conservera les évaluations d’intérêt légitime le cas échéant et n’utilisera le consentement que lorsque cela est approprié et rétractable sans préjudice.

Bases légales possibles (article 6 RGPD) : consentement ; exécution d’un contrat ; respect d’une obligation légale ; protection des intérêts vitaux ; mission d’intérêt public ou exercice de l’autorité publique ; intérêts légitimes, sous réserve des droits et libertés fondamentaux des personnes concernées.

• Catégories particulières de données
  Certaines catégories de données traitées par l’ASTF peuvent relever des « catégories particulières » (données de santé, etc.) au sens de l’article 9 du RGPD et nécessiteront des mesures spécifiques. Le traitement de ces catégories est en principe interdit, sauf dérogations prévues par le RGPD, notamment lorsque le traitement est nécessaire dans le cadre de la médecine du travail (art. 9(2)(h) RGPD) ou lorsqu’une autre base légale prévue par le RGPD s’applique (intérêt public important, protection des intérêts vitaux, recherches, prévention de la fraude, etc.).
• Transparence
  Lorsque les données sont collectées directement, l’ASTF remettra au moment de la collecte une information claire et transparente précisant notamment : finalités, risques et mesures de sécurité, identité et coordonnées du responsable, coordonnées du DPO, catégories de données traitées, base juridique, destinataires éventuels, transferts hors EEE le cas échéant et mécanismes applicables, durée de conservation, droits des personnes, droit de retirer le consentement, possibilité de déposer une réclamation auprès de l’autorité de contrôle, nécessité des données et conséquences d’un refus, et existence éventuelle de décisions automatisées/profiling. L’ASTF pourra dispenser cette information lorsque la personne concernée en a déjà connaissance.
• Limitation des finalités
  Les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Les finalités seront définies lors de la collecte et feront l’objet, si nécessaire, d’une analyse d’impact sur la protection des données (DPIA). Toute nouvelle finalité fera l’objet d’une évaluation de compatibilité conformément à l’article 6(4) RGPD ; si la finalité n’est pas compatible, une nouvelle base légale sera identifiée et, si requis, un nouveau consentement sera obtenu.
• Minimisation des données
  Seules les données pertinentes et nécessaires à la finalité poursuivie doivent être collectées et conservées. Les traitements feront l’objet d’une évaluation de minimisation proportionnée. Les données non nécessaires devront être anonymisées ou supprimées. Les périodes de conservation seront alignées sur le registre des activités de traitement (RoPA).
• Exactitude
  Les données doivent être exactes et, si nécessaire, tenues à jour. Toute mesure raisonnable sera prise pour rectifier ou supprimer les données inexactes. Les personnes concernées peuvent demander la rectification, l’effacement ou la limitation du traitement ; l’ASTF répondra dans les délais prévus par le RGPD (un mois, prorogeable de deux mois supplémentaires en fonction de la complexité).

7. Limitation de la conservation

L’ASTF ne conservera pas les données au delà de la durée nécessaire aux finalités légitimes pour lesquelles elles ont été collectées. Les périodes de conservation sont déterminées au regard, notamment, de la nature et de la sensibilité des données, des risques potentiels, des finalités poursuivies et des obligations légales. Les durées de conservation sont détaillées dans le ROPA pour chaque activité.

Des revues régulières des données stockées seront effectuées par catégorie ; l’ensemble des documents devra être réexaminé au moins annuellement, et pour les données de catégorie particulière au moins semestriellement. Les données seront détruites de manière sécurisée (déchiquetage, élimination confidentielle, suppression électronique sécurisée, etc.).

7.1. Conservation à des fins juridiques

L’ASTF peut émettre une instruction de conservation empêchant la suppression de données à l’issue de la période de conservation lorsqu’elles sont nécessaires pour l’exercice, la défense ou l’instruction d’une action en justice.

8. Intégrité et confidentialité

L’ASTF met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l’intégrité et la disponibilité des données et des systèmes. Ces mesures doivent permettre notamment de restaurer l’accès et la disponibilité des données en cas d’incident, d’évaluer régulièrement leur efficacité et d’y apporter les améliorations nécessaires.

Les données ne doivent jamais être laissées sans protection (documents physiques en lieux publics, écrans non verrouillés, etc.) et les transmissions doivent se faire par des moyens sécurisés conformément aux procédures internes.

9. Responsabilité

L’ASTF est responsable du respect des principes énoncés ci dessus et doit s’assurer que ses prestataires tiers agissent en conformité avec le RGPD.

9.1. Délégué à la protection des données (DPO)

L’ASTF désigne un DPO, en interne ou sous contrat de service, dont les fonctions ne doivent pas entraîner de conflit d’intérêts. Le DPO exerce ses missions de manière indépendante et rend compte directement à la direction la plus élevée de l’ASTF. Il doit être impliqué de façon appropriée et en temps utile dans toutes les questions relatives à la protection des données.

Missions du DPO : informer et conseiller les entités et les salariés, surveiller la conformité (y compris formations et audits), conseiller sur les DPIA, coopérer avec l’autorité de contrôle et servir d’interlocuteur pour celle ci.

DPO — contact

Gianfranco Mei

Tél. : +352 22 51 51 1
Mobile : +352 621 877 322
KPMG Luxembourg
39, avenue JF Kennedy
L 1855 Luxembourg

10. Gestion des violations de données

Une violation de données est tout incident de sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès aux données à caractère personnel.
Exemples : perte ou vol de supports, accès non autorisé, défaillance matérielle ou logicielle, erreur humaine, catastrophe naturelle, attaques informatiques (hacking, virus, phishing), usurpation d’identité, envoi d’informations au mauvais destinataire, etc.

En cas d’incident, le DPO est notamment chargé de :

• Effectuer, si nécessaire, la notification à la CNPD sans retard injustifié et, lorsque possible, dans les 72 heures après en avoir pris connaissance, si le risque pour les droits et libertés des personnes est avéré ;
• Fournir une copie du signalement à l’instance compétente de l’ASTF pour information et revue ;
• Notifier les personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés.

L’ASTF met en place et maintien des procédures de gestion, d’investigation et de notification des incidents de protection des données.

11. Droits des personnes concernées

Les droits suivants sont garantis :

• Droit d’accès : connaître si des données personnelles les concernant sont traitées et obtenir une copie des données et des informations afférentes (finalités, catégories, destinataires, etc.).
• Droit à l’effacement (droit à l’oubli) : demande d’effacement dans les conditions prévues par le RGPD, sous réserve des obligations légales ou autres motifs légitimes de conservation.
• Droit à la limitation du traitement : possibilité d’obtenir la limitation dans certaines situations (contestations d’exactitude, conservation requise pour des démarches juridiques, etc.).
• Droit d’opposition : possibilité de s’opposer à certains traitements, notamment au traitement à des fins de prospection. Pour d’autres motifs, l’exercice du droit dépendra des motifs et de la justification du responsable.
• Droit à la portabilité : possibilité d’obtenir et de réutiliser les données personnelles dans un format structuré, couramment utilisé et lisible par machine.
• Exercice des droits : L’ASTF répondra aux demandes d’exercice de droits dans les délais légaux (un mois, prorogeable de deux mois selon la complexité et le nombre de demandes). Un processus de gestion des demandes d’accès aux données (Subject Access Request) est mis en place.

L’ASTF met en place et maintient des procédures assurant le suivi des demandes des personnes concernées.

Les demandes des personnes concernées peuvent être adressées :

• Par courriel :
• Par courrier à l’adresse suivante :
  Association pour la Santé au travail des secteurs Tertiaire et Financier (ASTF)
  A l’attention du DPO
  15–17 avenue Gaston Diderich, 1420 Belair, Luxembourg

11.1 Décision automatisée et profilage

L’ASTF n’effectue pas de prises de décision reposant exclusivement sur un traitement automatisé produisant des effets juridiques ou affectant significativement les personnes concernées.

12. Registre des activités de traitement (RoPA)

L’ASTF tient et met à jour un registre des activités de traitement conforme à l’article 30 du RGPD, référençant l’ensemble des processus impliquant des données personnelles. Il appartient à tout le personnel de veiller à la tenue à jour des enregistrements, qu’ils soient sous forme physique ou électronique. Le registre fera l’objet d’une revue minimale annuelle et sera mis à jour à la suite de changements significatifs (migrations, nouveaux prestataires, etc.).

13. Formation à la protection des données

L’ASTF veille à ce que le personnel reçoive une formation adaptée à ses obligations en matière de protection des données. Tous les collaborateurs sont tenus de suivre une formation annuelle, qui peut être dispensée en présentiel ou sous forme d’e learning.

14. Révision de la politique protection des données

La présente politique est révisée au moins une fois par an.

– v. 10/03/2026 –