Confidentialité

Politique de confidentialité relative à la protection de la vie privée et des données à caractère personnel des usagers de WONDERS

Préambule

Les présentes dispositions sont établies en application du règlement du Parlement européen et du Conseil du 27 avril 2016 n°2016/679 relatif à la protection des données à caractère personnel, ainsi que de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements des données à caractère personnel, modifiée par la loi du 11 décembre 1998 transposant la directive 95/45/CE du 24 octobre 1995.

Elles ont pour objet de définir les modalités de gestion, de traitement, de communication et d’accès à l’ensemble des données à caractère personnel relatives aux usagers par BIKE&WIN.

BIKE&WIN s’engage à respecter la loi applicable et à mettre tout en œuvre pour que les membres de son personnel l’appliquent scrupuleusement. Cet engagement est fondamental pour BIKE&WIN afin de bâtir la relation de confiance sans laquelle aucun acte ne peut être posé dans l’intérêt de l’usager.

ARTICLE 1 – DEFINITIONS ET CHAMP D’APPLICATION

Les présentes dispositions sont applicables aux traitements des données à caractère personnel relatives aux usagers de BIKE&WIN.

  • 1.1. Par données à caractère personnel, on entend toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
  • 1.2. Par usager, on entend toute personne faisant appel ou bénéficiant d’un service de BIKE&WIN.
  • 1.3. Par utilisateur, on entend toute personne qui utilise les données à caractère personnel des usagers pour les besoins des services fournis par BIKE&WIN. Il peut s’agir de toute personne travaillant au sein de BIKE&WIN de façon permanente ou temporaire (quel que soit son employeur). Par extension, la notion d’utilisateur recouvre toute personne collaborant avec BIKE&WIN et disposant dans le cadre de cette collaboration d’un accès aux ressources informatiques de BIKE&WIN.
  • 1.4. Par destinataire, on entend toute personne extérieure à BIKE&WIN à laquelle les utilisateurs sont amenés à communiquer des données à caractère personnel concernant les Clients.
  • 1.5. Par loi, on entend le règlement du parlement européen et du conseil du 27 avril 2016 n°2016/679 relatif à la protection des données à caractère personnel, ainsi que de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements des données à caractère personnel ou toute autre norme qui les remplacerait ou les modifierait.

ARTICLE 2 – FINALITES ET BASE JURIDIQUE DU TRAITEMENT

§1 Le traitement des données à caractère personnel relatives aux usagers se fait dans le respect de la loi et de ses arrêtés d’exécution.

Le traitement a respectivement pour finalités :

  • 1. D’exécuter la convention conclue avec l’usager. Tel est le cas :
    • Des renseignements relatif à l’usager nécessaires pour créer et assurer la permanence du compte de l’usager, y compris pour vérifier son identité, communiquer avec l’usager, permettre à l’usager de faire des paiements ou de recevoir ses commissions, lui permettre d’utiliser l’application BIKE&WIN.
    • Des renseignements nécessaires pour permettre aux Entreprises d’offrir leurs produits par l’intermédiaire de l’application BIKE&WIN.
    • Des renseignements sur les transactions, qui doivent être générés et conservés relativement à l’utilisation des services de BIKE&WIN par l’usager.
  • 2. De servir les intérêts légitimes de BIKE&WIN

BIKE&WIN traite les données à caractère personnel des usagers en vue d’assurer leur sécurité, notamment pour empêcher l’utilisation de ses services par des usagers présentant une menace pour les autres usagers, pour prévenir les fraudes éventuelles, pour effectuer des recherches et des analyses visant à améliorer ses services mais également à des fins de marketing direct, spécialement pour permettre une meilleure adéquation de la publicité adressée aux usagers.

BIKE&WIN peut également traiter les données personnelles des usagers avec le consentement de ceux-ci.

Ce consentement peut être retiré à tout moment. Cependant, le retrait du consentement aura pour conséquence que les services qui nécessitent le traitement de données personnelles se fondant sur le consentement ne pourront plus être utilisées par l’usager.

§2 En aucun cas des données à caractère personnel ne pourront être reprises dans les bases de données relatives aux usagers et faire l’objet d’un traitement pour des objectifs autres que ceux énumérés au §1er.

Aucun traitement ultérieur ne pourra être effectué d’une manière incompatible avec les finalités énumérées au §1.

§3 Le traitement des données à caractère personnel relatives aux usagers est réalisé dans le respect des principes suivants :

  • Les données sont traitées de manière licite, loyale et transparente ;
  • Les données sont traitées de manière adéquate, pertinente et limitée à ce qui est nécessaire au regard des finalités énumérées au §1er.
  • Il est vérifié que les données traitées sont exactes et à jour ;
  • Les données sont conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités énumérées à §1er.

ARTICLE 3 – RESPONSABLE DU TRAITEMENT

§1 La SCRL BIKE’N WIN, ayant son siège social à 4130 TILFF, rue Freson 46, inscrite à la BCE sous le numéro 0725.564.948 est le « responsable du traitement » au sens de la loi.

§2 Les droits et obligations du « responsable du traitement » sont les suivants :

  • 1° Il est compétent pour décider, en conformité avec la législation existante et avec les présentes dispositions, de la finalité du traitement des données à caractère personnel, des catégories de données devant figurer dans les bases de données en fonction de la finalité poursuivie, et des catégories de personnes pouvant avoir accès aux données, en fonction notamment de la nature de celles-ci.
  • 2° Il veille à ce que les données ne soient collectées que pour les finalités définies à l’article 2, dans les limites de ces finalités, et qu’elles soient traitées de manière compatibles avec ces finalités.
  • 3° Il fait toute diligence pour tenir les données à jour, pour rectifier ou supprimer les données inexactes, incomplètes ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance de la loi ;
  • 4° Il veille à ce que l’accès aux données et les possibilités de traitement de données des personnes agissant sous son autorité soient limités à ce qui leur est nécessaire pour l’exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités du service. Il tient à jour la liste des personnes habilitées à accéder, selon leurs prérogatives, aux données à caractère personnel, reprenant leur niveau d’accès respectif (ajout, lecture, modification, suppression)
  • 5° Il veille à ce que les données ne soient pas conservées au-delà du délai nécessaire aux finalités pour lesquelles elles ont été collectées.
  • 6° Il informe les personnes agissant sous son autorité des dispositions de la loi et de ses arrêtés d’exécution, ainsi que de toute prescription pertinente relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel.
  • 7° Il s’assure de la conformité des programmes servant au traitement automatisé des données à caractère personnel avec les termes de la déclaration visée à l’article 17 de la loi ainsi que de la régularité de leur application.
  • 8° Il prend les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l’accès et tout autre traitement non autorisé de données à caractère personnel.
    Ces mesures doivent assurer un niveau de protection adéquat, compte tenu, d’une part, de l’état de la technique en la matière et des frais qu’entraine l’application de ces mesures et, d’autre part, de la nature des données à protéger et des risques potentiels.

ARTICLE 4 – SOUS-TRAITANCE

Le sous-traitant qui accède à des données à caractère personnel ne peut les traiter que sur instructions et avec autorisation préalable du « responsable du traitement », et en parfaite conformité avec le règlement européen 2016/679, la loi, ses arrêtés d’exécution, et les présentes dispositions, sauf en cas d’obligation imposée par ou en vertu d’une loi, d’un décret ou d’une ordonnance.

Le sous-traitant doit prendre les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l’accès, la divulgation et tout autre traitement non autorisé de données à caractère personnel.

Ces mesures doivent assurer un niveau de protection adéquat, compte tenu, d’une part, de l’état de la technique en la matière et des frais qu’entraine l’application de ces mesures et, d’autre part, de la nature des données à protéger et des risques potentiels.

BIKE&WIN pourrait sous-traiter certaines opérations relatives au traitement des données à caractère personnel.

Afin d’assurer la pleine protection de la vie privée des usagers dont les données sont collectées au sein de BIKE&WIN, les sous-traitants sont tenus de respecter les règles de sécurité et de confidentialité les plus strictes concernant les bases de données et les communications électroniques.

Le responsable du traitement veille à ce que la présente charte soit portée à la connaissance des sous-traitants auxquels il est fait appel, et à ce qu’ils s’engagent par écrit au respect scrupuleux des principes de sécurité et de confidentialité qui y sont énoncés.

ARTICLE 5 – CONSULTATION INTERNE ET TRAITEMENT

§1 Seuls les utilisateurs sont autorisés à consulter et traiter, selon l’étendue de leurs droits d’accès, les données à caractère personnel relatives aux usagers.

§2 Les utilisateurs s’engagent à consulter et traiter les données à caractère personnel relatives aux usagers dans le respect scrupuleux de la loi, de ses arrêtés d’exécution, et des présentes dispositions.

Ils s’engagent notamment à :

  • 1° traiter les données loyalement, licitement et en toute transparence ;
  • 2° à ne les collecter que pour les finalités déterminées dans les présentes dispositions, et à ne les traiter que de manière compatible avec ces finalités ;
  • 3° à ne collecter que des données adéquates et pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement
  • 4° à veiller à l’exactitude et à la mise à jour des données collectées ;
  • 5° à veiller à corriger, compléter ou faire effacer par la personne compétente les données qui seraient obsolètes, incorrectes ou incomplètes ;
  • 6° à ne consulter les données et ne les traiter que dans les limites strictement nécessaires à l’exécution de leur mission et dans le respect des finalités pour lesquelles elles ont accès à ces données ;
  • 7° à respecter à leur égard la plus stricte confidentialité, et à ne les transmettre ou les divulguer qu’à des personnes soumises à la même obligation de confidentialité, et exclusivement si la transmission est nécessaire à la finalité poursuivie.

Un exemplaire des présentes dispositions ainsi qu’un exemplaire du règlement européen 2016/679 de la loi sur la protection de la vie privée sera remis aux utilisateurs. Ils signeront un engagement individuel de veiller scrupuleusement au respect de ces dispositions.

ARTICLE 6 – TRANSMISSION EXTERNE

En vertu de la loi du 8 décembre 1992 et du règlement européen 2016/679, aucune transmission extérieure de données à caractère personnel ne sera autorisée, à l’exception d’une transmission effectuée envers un sous-traitant, conformément à l’article 4 de la présente politique de confidentialité.

ARTICLE 7 – NATURE ET COLLECTE DES DONNEES TRAITEES

Les données sont collectées par le biais de l’usager lui-même.

ARTICLE 8 – MESURES DE SECURITE

BIKE&WIN a mis en place des mesures de sécurité appropriées sur le plan technique et organisationnel afin d’éviter la destruction, la perte, la falsification, la modification, l’accès non autorisé par des tiers ou la notification par erreur à des tiers des données à caractère personnel collectées, ainsi que tout traitement non autorisé de ces données.

ARTICLE 9 – PROCEDURE DE NOTIFICATION EN CAS DE VIOLATION DE DONNEES A CARACTERE PERSONNEL

  • 9.1. Notification à l’Autorité de protection des données
    • §1 En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’Autorité de protection des données (ou à tout autre organe qui remplacerait cette dernière), dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à la Commission de la vie privée n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
    • §2 Si un sous-traitant auquel BIKE&WIN a fait appel constate une violation de données à caractère personnel, il notifie au responsable du traitement cette violation dans les meilleurs délais après en avoir pris connaissance.
    • §3 La notification visée au §1 doit, à tout le moins :
      • a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
      • b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
      • c) décrire les conséquences probables de la violation de données à caractère personnel;
      • d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
    • §4 Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
    • §5 Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. Il tient cette documentation à la disposition de la Commission de la vie privée.
  • 9.2. Notification à la personne concernée d’une violation de données à caractère personnel
    • §1 Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’un usager, le responsable du traitement communique la violation de données à caractère personnel à cet usager dans les meilleurs délais.
    • §2 La communication à la personne concernée visée au §1 décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 17.1., paragraphe 3, points b), c) et d), de la présente politique de confidentialité.
    • §3 La communication à l’usager n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie :
      • a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;
      • b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au §1 n’est plus susceptible de se matérialiser;
      • c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
    • §4 Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de protection des données peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au §3 est remplie.

ARTICLE 10 – DELAI DE CONSERVATION

  • §1 Sans préjudice d’éventuelles dispositions légales ou réglementaires, à dater du dernier traitement des données de l’usager nécessaires à la réalisation des finalités prévues, les données ne peuvent faire l’objet d’aucun traitement y compris leur conservation, au-delà du délai nécessaire ou utile à la réalisation des finalités prévues.
  • §2 Passé le délai prévu au §1er, les données à caractère personnel concernées ne seront plus accessibles par les utilisateurs.
  • §3 Par dérogation au §2, les données à caractère personnel pourront être conservées sous une forme anonymisée afin de pouvoir les traiter statistiquement, à condition qu’elles soient traitées de manière telle qu’il s’avère raisonnablement impossible de remonter jusqu’à des individus identifiables, conformément à l’article 89 du règlement européen 2016/689.

ARTICLE 11- EFFACEMENT

Les données à caractère personnel relatives aux usagers sont effacées soit dans les cas déterminés par ou en vertu de la loi, soit à la demande fondée de tout intéressé en vertu de son droit à la rectification et à l’effacement conformément à la section 3 du Chapitre III du règlement européen 2016/679 ainsi que de son droit de rectification exercé sur la base de l’article 12 de la loi du 8 décembre 1992 et de l’article 21, moyennant un délai d’effacement, soit encore en exécution d’une décision judiciaire.

ARTICLE 12 – DROITS DE L’USAGER

Les données du Client et, le cas échéant, de son représentant personne physique, fait l’objet d’un encodage dans les fichiers informatiques et en format papier de BIKE&WIN, responsable du traitement, dont le délégué à la gestion des données à caractère personnel est : data@bikenwin.com

Le traitement de ces données par BIKE&WIN a pour finalité de permettre la passation des Commandes et la conclusion et l’exécution des Contrats. Les destinataires de ces données sont exclusivement les membres du personnel de BIKE&WIN assignés au suivi de l’exécution des Contrats ainsi qu’aux Restaurants qui ont besoin d’en disposer pour exécuter la Commande. Les données collectées sont conservées pendant un délai de 1 an prenant cours à la fin de l’année calendrier au cours de laquelle le dernier Contrat a été conclu.

Chaque personne dont les données font l’objet d’un traitement par BIKE&WIN a un droit de consulter ces données lesquelles lui seront transmises dans un format clair, concis et compréhensible et en cas d’inexactitude de celles-ci, a le droit de les rectifier et/ou de les compléter. Chaque personne concernée a également le droit de solliciter la limitation du traitement de ses données dans les cas prévus à l’article 18 du Règlement UE 2016/ 679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Enfin, la personne concernée a le droit de solliciter l’effacement de ses données lorsque le traitement de celles-ci n’est plus nécessaire à l’exécution des relations contractuelles la liant à BIKE&WIN.

En vue d’exercer les droits énoncés ci-dessus, la personne concernée envoie gratuitement une demande écrite par courriel à l’adresse électronique suivante data@bikenwin.com Cette demande doit être accompagnée d’une photocopie recto verso de sa carte d’identité conformément à l’article 12 du Règlement précité.

La personne concernée a le droit d’introduire une réclamation concernant l’exercice de ses droits devant l’Autorité de protection des données dont les coordonnées sont :

  • Autorité de protection des données
  • Rue de la Presse, 35, 1000 Bruxelles
  • +32 (0)2 274 48 00
  • +32 (0)2 274 48 35
  • contact@apd-gba.be

ARTICLE 13 – COOKIES

La consultation du site internet de BIKE&WIN et de l’application de BIKE&WIN peut entraîner l’installation de cookies sur l’ordinateur de l’usager. Ces derniers simplifient la visite et optimisent l’ergonomie du dialogue.

L’usager peut refuser l’installation de ces cookies sur son ordinateur, mais ce refus peut alors l’empêcher d’accéder à certains services.

ARTICLE 14 – ENTRE EN VIGEUR ET MODIFICATION

Les présentes dispositions entrent en vigueur le 05/03/2022

La date de la dernière modification est le 05/03/2022

La présente politique de protection des données peut faire l’objet de modifications.

BIKE&WIN recommande dès lors de consulter régulièrement la politique de protection des données pour prendre connaissance des éventuelles modifications.