Protection des données personnelles
Règlement (UE) 2016/679 – RGPD – Loi luxembourgeoise du 1er août 2018
La présente politique de confidentialité vous est fournie par GERI Management SA, société anonyme de droit luxembourgeois, en sa qualité de responsable du traitement des données personnelles collectées dans le cadre de ses activités. GERI Management SA a son siège au 5, Zone d'Activités Gadderscheier (Bâtiment COS), L-4570 Differdange.
Délégué(e) à la Protection des Données (DPO) : GERI Management SA a désigné un délégué externe à la protection des données, la société Luxgap Sàrl, joignable à l’adresse e-mail dpo@luxgap.com.
Le DPO est chargé de contrôler le respect de la réglementation applicable en matière de données personnelles et constitue le point de contact privilégié pour toute question relative à vos données.
GERI Management SA veille à ne collecter que les données personnelles strictement nécessaires au regard des finalités décrites ci-dessous. Ces données peuvent être recueillies directement auprès de vous (formulaire de contact sur notre site, appels téléphoniques, e-mails, contrats) ou de manière indirecte (avis préalables de chantier, registres officiels, professionnels de santé dans le cadre de la médecine du travail). Les catégories de données traitées comprennent notamment :
Exactitude des données : Les personnes concernées s’engagent à fournir des données exactes, complètes et à jour. Elles sont invitées à signaler toute modification afin de garantir la bonne gestion des dossiers, prestations et échanges. Cette exigence rejoint le principe d’exactitude prévu par l’article 5 du RGPD.
Données sensibles : A l’exception des cas limités ci-dessus, GERI Management ne souhaite pas collecter particulières de données personnelles vous concernant (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou biométriques, données de santé ou relatives à la vie sexuelle/orientation sexuelle). Il vous est donc demandé de ne pas communiquer de telles informations, sauf si cela est strictement nécessaire. Si toutefois vous fournissez spontanément des données sensibles (par ex. en joignant un document contenant ce type d’informations), nous considérerons – sauf indication contraire de votre part – que vous consentez à ce que ces informations soient traitées conformément à votre demande spécifique. Ces données seront protégées de manière renforcée et supprimées dès que possible après la réalisation de la finalité concernée.
GERI Management SA traite vos données personnelles uniquement pour des finalités déterminées, explicites et légitimes, et ne les utiliseras pas de manière incompatible avec ces finalités initiales. Pour chaque traitement, la société dispose d’un fondement juridique valide au sens du RGPD. Les principales finalités et bases légales sont les suivantes :
Dans le cadre des états des lieux, les données des propriétaires et occupants des bâtiments avoisinants peuvent également être traitées, sur la base de l’intérêt légitime de toutes les parties à disposer d’un constat contradictoire permettant de prévenir tout litige futur. De même, dans le cadre de la coordination sécurité-santé, les données des entreprises et de leurs représentants présents sur le chantier (dont le numéro CNS) sont collectées via l’avis préalable de chantier, sur la base de l’obligation légale découlant du règlement grand-ducal du 27 juin 2008.
En tout état de cause, GERI Management s’engage à ne pas traiter ultérieurement vos données d’une manière incompatible avec les finalités pour lesquelles elles ont été initialement collectées ou que vous avez acceptées. Si nous souhaitions utiliser vos données pour une nouvelle finalité non prévue par cette politique, nous vous en informerions préalablement et recueillerions votre consentement si nécessaire.
Les données personnelles sont conservées par GERI Management SA pour une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, sous réserve des obligations légales de conservation. À l’issue de ces durées, les données sont supprimées ou rendues irréversiblement anonymes. Les durées applicables sont les suivantes :
En cas de litige ou de contentieux en cours, GERI Management SA peut être amenée à conserver certaines données au-delà des durées indiquées, jusqu’à l’issue définitive de la procédure. La société s’engage à réaliser des purges régulières de ses bases de données conformément à sa politique interne de rétention.
Conclusion
GERI Management SA attache une importance particulière à la protection des données personnelles et s’engage à traiter celles-ci de manière licite, loyale, transparente et proportionnée, conformément au Règlement général sur la protection des données, notamment aux principes prévus à l’article 5 du RGPD. La présente politique de confidentialité vise à informer les personnes concernées, de manière claire et accessible, sur les finalités des traitements mis en œuvre, les catégories de données traitées, les destinataires éventuels, les durées de conservation applicables ainsi que les droits dont elles disposent, notamment les droits d’accès, de rectification, d’effacement, de limitation, d’opposition et, le cas échéant, de portabilité, conformément aux articles 12 à 22 du RGPD.
GERI Management SA veille à mettre en œuvre des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de sécurité adapté aux risques, conformément à l’article 32 du RGPD. Toute personne concernée souhaitant obtenir des informations complémentaires ou exercer ses droits peut contacter GERI Management SA selon les modalités précisées dans la présente politique. En cas de difficulté persistante, elle dispose également du droit d’introduire une réclamation auprès de l’autorité de contrôle compétente.
L’accès à vos données personnelles est strictement limité aux collaborateurs de GERI Management SA qui en ont besoin dans le cadre de leurs fonctions (principe du moindre privilège) : équipes RH et comptabilité, collaborateurs en charge des dossiers clients, direction et managers concernés, et responsable de la sécurité informatique. Chaque collaborateur est soumis à une obligation de confidentialité et formé aux bonnes pratiques en matière de protection des données.
GERI Management SA fait appel à des prestataires externes qui peuvent, dans le strict cadre de la mission confiée, avoir accès à certaines de vos données. Ces sous-traitants agissent exclusivement selon les instructions de GERI Management SA et sont liés par un contrat conforme à l’article 28 du RGPD.
En dehors de ces cas, GERI Management SA ne vend ni ne loue vos données personnelles à des tiers à des fins commerciales. Toute transmission non listée ci-dessus ne serait effectuée qu’avec votre consentement explicite ou en vertu d’une obligation légale.
Dans le cadre de ses obligations légales, GERI Management SA peut être amenée à transmettre certaines données aux autorités luxembourgeoises compétentes, notamment l’Administration des Contributions Directes (ACD), l’Administration de l’Enregistrement des Domaines et de la TVA (AED), la Caisse Nationale de Santé (CNS), l’Association d’Assurance Accident (AAA), l’Inspection du Travail et des Mines (ITM), le Service de Santé au Travail Multisectoriel (STM), ainsi que la Commission Nationale pour la Protection des Données (CNPD) le cas échéant.
GERI Management SA privilégie, dans toute la mesure du possible, le stockage et le traitement des données personnelles au sein de l’Union européenne ; toutefois, certains traitements peuvent impliquer des transferts de données vers des pays situés en dehors de l’Espace économique européen, notamment vers les États-Unis, dans le cadre de l’utilisation de certains outils de la suite Microsoft 365, d’Azure AD et de WatchGuard, ces transferts étant encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne et, le cas échéant, complétés par des mesures techniques appropriées telles que le chiffrement ou la pseudonymisation.
GERI Management SA met en œuvre des mesures techniques et organisationnelles appropriées afin d’assurer la sécurité, la confidentialité, l’intégrité et la disponibilité des données personnelles traitées, conformément à l’article 32 du RGPD.
Ces mesures incluent notamment le chiffrement des postes, des supports de stockage et des communications, l’authentification multi-facteurs, la gestion centralisée des accès selon le principe du moindre privilège, ainsi que la journalisation des accès et événements de sécurité. L’entreprise s’appuie également sur des dispositifs de protection réseau et endpoint, notamment un pare-feu de nouvelle génération, des mécanismes de détection des menaces et une solution antivirus déployée sur les terminaux.
GERI Management SA assure par ailleurs la continuité et la résilience de ses systèmes au moyen de sauvegardes régulières et automatisées, incluant un stockage externalisé permettant la restauration des données en cas d’incident. L’accès physique aux locaux est contrôlé et les collaborateurs sont régulièrement sensibilisés aux bonnes pratiques de cybersécurité, notamment au moyen de formations dédiées et de tests de phishing.
En cas de violation de données personnelles, une procédure interne prévoit l’analyse de l’incident, sa documentation, ainsi que, lorsque les conditions légales sont réunies, la notification à la CNPD dans un délai de 72 heures et l’information des personnes concernées, conformément aux articles 33 et 34 du RGPD.
Conformément au RGPD et à la loi luxembourgeoise du 1er août 2018, vous disposez des droits suivants concernant les données personnelles que GERI Management SA traite à votre sujet. Ces droits s’exercent gratuitement (sauf demande manifestement infondée ou excessive), en nous contactant aux coordonnées indiquées en section 1. Pour des raisons de sécurité, il vous sera demandé de justifier de votre identité. Nous nous engageons à répondre dans un délai d’un mois, prorogeable de deux mois en cas de demandes complexes ou nombreuses.
Lors de la consultation de notre site internet www.geri.lu, des cookies et technologies similaires peuvent être déposés sur votre terminal (ordinateur, tablette, smartphone). Un cookie est un petit fichier texte enregistré dans votre navigateur qui permet de reconnaître votre appareil lors de visites ultérieures. GERI Management SA utilise des cookies de manière limitée et proportionnée.
Cookies analytiques : ces cookies permettent de mesurer la fréquentation du site et d’analyser les parcours de navigation à des fins statistiques, afin d’améliorer le contenu et l’ergonomie du site. Ils ne sont déposés qu’avec votre consentement préalable.
Lors de votre première visite sur notre site, une bannière s’affiche pour vous informer de l’utilisation des cookies et recueillir vos préférences. Vous pouvez à tout moment modifier vos choix via le gestionnaire de cookies accessible en bas de page. Vous disposez également de la possibilité de paramétrer votre navigateur pour refuser ou supprimer les cookies, étant entendu que certaines fonctionnalités du site pourraient alors être altérées. Les cookies sont conservés pour une durée maximale de 13 mois.
Les services de GERI Management SA s’adressent principalement à des professionnels et à des personnes majeures. À ce jour, la société ne collecte pas intentionnellement de données personnelles concernant des mineurs. Si vous êtes parent ou tuteur et avez connaissance qu’un mineur nous aurait transmis des données personnelles sans votre autorisation, nous vous invitons à contacter notre DPO afin que nous puissions supprimer ces données dans les meilleurs délais.
Dans l’hypothèse où, dans le cadre de projets spécifiques, GERI Management SA viendrait à traiter des données concernant des mineurs (par exemple lors de visites de chantier ou d’événements impliquant des étudiants), les mesures de protection adaptées seraient mises en place, notamment le recueil du consentement parental et une information claire des représentants légaux.
Dans le cadre de ses missions de coordination sécurité-santé, GERI Management SA traite les données des représentants des entreprises intervenantes, des maîtres d’ouvrage et, le cas échéant, des victimes d’accidents survenus sur les chantiers supervisés. Ces traitements sont fondés sur l’obligation légale découlant du règlement grand-ducal du 27 juin 2008 et, pour la gestion des incidents, sur l’obligation légale du coordinateur de sécurité de consigner et de signaler tout événement notable.
La rédaction du Plan Général de Sécurité-Santé (PGSS) nécessite la collecte des données d’identification des entreprises et de leurs responsables techniques présents sur le chantier, collectées indirectement via l’avis préalable déposé auprès de l’Inspection du Travail et des Mines. En cas d’accident, les données de santé strictement nécessaires à la gestion de l’incident peuvent être transmises aux services de secours, à l’ITM ou à l’AAA, conformément aux obligations légales. Ces données font l’objet d’une protection renforcée et sont conservées 10 ans après la clôture du chantier.
Avant, pendant et après les travaux, GERI Management SA réalise des états des lieux des constructions et voiries avoisinant les chantiers. Ce service implique le traitement des données d’identification des propriétaires et occupants concernés (nom, prénom, adresse, téléphone, e-mail), ainsi que la prise de photographies des bâtiments et de leurs abords. La base légale est la relation contractuelle avec le client (maître d’ouvrage) et l’intérêt légitime de toutes les parties à disposer d’un constat contradictoire opposable en cas de litige.
Les photographies et procès-verbaux d’état des lieux sont conservés 10 ans à compter de la fin de la relation contractuelle. GERI Management SA veille à informer préalablement les personnes concernées par la visite de leur bien et à ne collecter que les informations strictement nécessaires à la rédaction du procès-verbal.
Toute demande adressée à GERI Management SA via le formulaire de contact en ligne (www.geri.lu) ou par téléphone donne lieu à un traitement de vos données aux seules fins de répondre à votre demande et, le cas échéant, de donner suite à une relation contractuelle. Les données collectées (nom, prénom, e-mail, téléphone, message) sont conservées le temps nécessaire au traitement de votre demande, puis archivées ou supprimées. Si votre demande aboutit à une relation contractuelle, vos données intègrent le dossier client et sont conservées selon les durées applicables aux données clients (voir section 4).
Pour des raisons de confort et de qualité de service, GERI Management SA peut conserver un bref mémo des échanges téléphoniques dans ses systèmes. Les appels ne sont pas enregistrés.
GERI Management SA enregistre automatiquement les accès et actions effectués par ses collaborateurs sur les systèmes d’information traitant des données personnelles. Ces journaux (logs) permettent d’assurer la traçabilité, de détecter toute utilisation anormale ou non autorisée et de répondre aux obligations de l’article 32 du RGPD. Les données ainsi collectées (nom, username, adresse IP, date et heure d’accès, action effectuée) concernent exclusivement les utilisateurs internes des systèmes et ne sont accessibles qu’aux personnes habilitées. Elles ne sont utilisées qu’à des fins de sécurité et de gestion des incidents, sur la base de l’intérêt légitime de la société.
La présente politique de confidentialité est susceptible d’être mise à jour régulièrement, afin de refléter les évolutions de nos activités, des technologies employées ou de la réglementation applicable. En cas de modifications substantielles (nouvelle finalité, nouveaux destinataires, changement de base légale), GERI Management SA vous en informera par tout moyen approprié — notamment par e-mail ou par un avis visible sur son site internet — et recueillera si nécessaire votre consentement.