EWA GROUP S.A. POLITIQUE RELATIVE A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL

1. Contexte légal et réglementaire
La présente politique relative à la protection des données à caractère personnel définit la façon dont EWA Group S.A. ainsi que ses filiales EWA fiducaire S.A., Firelux S.A. et Luxsalaires S.A. (appelées « EWA Group ») traitent des informations relatives à des personnes physiques identifiées ou identifiables (appelées « personnes concernées ») recueillies auprès d’elles-mêmes ainsi que de ses clients et de tiers (tels que par exemple des prospects, des sous-contractants, des fournisseurs).
Les termes « données personnelles », «traitement», «responsable de traitement» et «sous-traitant» s’entendent au sens du règlement UE 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi que de tout texte ultérieur remplaçant ou complétant ce texte.

2. Traitement de données à caractère personnel
EWA Group peut être amené à traiter des données à caractère personnel pour les finalités suivantes :

Les finalités ci-dessus sont basées sur au moins une des bases légales suivantes :

En fonction, et pour les besoins des finalités de traitement, les filiales peuvent être amenées à traiter les catégories de données à caractère personnel suivantes :

3. Engagements de EWA Group en tant que sous-traitant vis-à-vis du responsable du traitement
a. Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance

b. Traiter les données conformément aux instructions du responsable de traitement. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

c. Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat

d. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
• s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
• reçoivent la formation nécessaire en matière de protection des données à caractère personnel

e. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

f. Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques.

Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants ultérieurs. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant ultérieur et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai maximum de 15 jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ultérieure ne peut être effectuée que si le responsable de traitement n'a pas émis d'objection pendant le délai convenu.

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

4. Droits des personnes concernées
Selon les conditions prévues par les lois applicables, les personnes concernées disposent du droit :
• D’accéder à leurs données personnelles et certaines informations relatives à leur traitement ;
• De demander la rectification ou l’effacement de leurs données personnelles ;
• D’obtenir la limitation de leur traitement ;
• De s’opposer au traitement de vos données personnelles.
• D’introduire une réclamation auprès du CNPD (cnpd.lu)
Afin d’exercer les droits repris ci-dessus, les personnes concernées sont priées d’envoyer un courriel, apportant la preuve de leur identité et en précisant le droit qu’elles souhaitent exercer : ewa@ewa.lu

5. Sécurité des données à caractère personnel
EWA Group s’engage à prendre toutes les mesures techniques et organisationnelles appropriées pour protéger les données personnelles des personnes concernées contre tout traitement non autorisé ou illégal et contre la perte accidentelle, la destruction ou les dommages de ces dernières.
Les données personnelles sont conservées sur des serveurs sécurisés situés dans des emplacements contrôlés.

6. Période de conservation des données à caractère personnel
EWA Group conserve les données à caractère personnel pendant la durée du contrat.
A l’issue de la relation de service, EWA Group, au choix du responsable du traitement exprimé dans des instructions documentées, procédera à la restitution ou à la destruction des données, et de toutes copies de données, sauf si leur restitution est requise par la loi ou les règlements applicables à EWA Group.

7. Transfert de données à caractère personnel en dehors de l’Union Européenne
EWA Group ne transmet pas les données à caractère personnel en dehors de l’Union Européenne autrement que vers des pays offrant un niveau de protection adéquat tels que décidé par la Commission Européenne.

8. Mise à jour de notre politique de protection des données personnelles
Afin de se conformer aux lois applicables et refléter au mieux la manière dont EWA Group traite les données à caractère personnel, cette politique de protection des données personnelles fera l’objet de mises à jour.
La version publiée sur le site internet d’EWA Group est la version actuellement en vigueur.

Contacts
Toute demande d’information relative à la protection des données personnelles peut être effectuée à l'adresse électronique suivante :

ewa@ewa.lu

ou par courrier à l’adresse suivante :

EWA Group S.A.
53,avenue J.F.Kennedy
L-9053 Ettelbruck