Contact
Support

Trust

Sécurité de l’information

La sécurité et la protection de l’information sont d’une importance stratégique pour le Cevi Group. Grâce à la certification ISO 27001, nous répondons à la norme internationale en matière de sécurité de l’information et garantissons la protection de vos données. Nos processus, systèmes et méthodes de stockage des données ont été évalués et approuvés de manière indépendante. Nous nous engageons à améliorer continuellement notre niveau de sécurité de l’information.

Déclaration de confidentialité

Chez Cevi, nous traitons les données à caractère personnel avec le plus grand soin et conformément au RGPD.

1. Champ d’application

La présente déclaration de confidentialité s’applique au traitement de données à caractère personnel par le Groupe CEVI et ses sociétés affiliées au sens de l’article 1:20 du Code des sociétés et des associations (ci-après ensemble : « CEVI », « nous » ou « notre »). CEVI est établi à Bisdomplein 3, 9000 Gand, et est inscrit à la Banque-Carrefour des Entreprises sous le numéro BE 0860.972.295.

CEVI agit en tant que partenaire TIC, spécialisé dans le développement et la fourniture de systèmes informatiques modernes et fiables ainsi que de solutions globales (notamment logiciels, services et support), principalement pour des institutions publiques. La présente déclaration de confidentialité décrit exclusivement les traitements externes pour lesquels CEVI agit en qualité de responsable du traitement, tels que l’utilisation de nos sites web et canaux de communication, le traitement des questions et demandes de contact, la gestion des relations professionnelles avec les clients et fournisseurs, ainsi que le recrutement et les candidatures.

En outre, dans le cadre de ses activités principales, CEVI agit souvent comme sous‑traitant pour le compte de clients (par ex. une administration locale) qui sont eux-mêmes responsables du traitement (par exemple lorsqu’une administration traite des données à caractère personnel dans une application ou un service que CEVI gère pour cette administration). Ces traitements ne relèvent pas du champ d’application de la présente déclaration de confidentialité et sont régis par la déclaration de confidentialité du client concerné. La présente déclaration ne s’applique pas non plus aux sites web, services ou applications de tiers, même lorsqu’ils sont accessibles via nos sites (par exemple via des liens ou des fonctionnalités intégrées). Dans ce cas, la déclaration de confidentialité de ce tiers s’applique et ce tiers est responsable de ses propres traitements.

Nous pouvons adapter cette déclaration de confidentialité lorsque nos traitements évoluent ou lorsque la législation l’exige. La version la plus récente est toujours disponible sur notre(vos) site(s) web et mentionne la date de la dernière mise à jour. Vous pouvez contacter notre délégué à la protection des données (« DPO ») par e‑mail à l’adresse dpo@cevi.be ou par courrier à Bisdomplein 3, 9000 Gand.

2. Quelles catégories de données personnelles traitons-nous et pourquoi ?

2.1 Relation clients et fournisseurs (gestion contractuelle et services)

Pour la gestion de nos relations professionnelles avec les clients et les fournisseurs ainsi que pour la fourniture de nos produits et services (y compris administration, facturation et suivi), nous traitons les données d’identification et de contact des personnes de contact, ainsi que les données relatives aux rendez‑vous, contrats, commandes, livraisons, facturation et communication pertinente dans le cadre de la prestation de services. Le traitement est nécessaire à l’exécution du contrat et/ou repose sur notre intérêt légitime à organiser et suivre correctement notre collaboration.

2.2 Helpdesk et support

Lorsque vous contactez notre helpdesk, créez un ticket ou soumettez un signalement, nous traitons vos données d’identification et de contact ainsi que les informations que vous fournissez dans votre ticket ou signalement (contenu, contexte pertinent, pièces jointes). Lorsque nécessaire pour le diagnostic et le suivi, des données techniques pertinentes peuvent également être traitées (par ex. informations de log ou de configuration). Ce traitement est nécessaire à l’exécution du contrat et/ou repose sur notre intérêt légitime à maintenir nos services sûrs, stables et de qualité.

2.3 Recrutement et sélection

Lorsque vous postulez, nous traitons les données personnelles que vous fournissez dans ce cadre afin de gérer votre candidature et d’organiser la procédure de sélection, telles que vos données d’identification et de contact, votre CV, formations, expérience professionnelle, motivation et autres informations pertinentes. Ce traitement repose en général sur notre intérêt légitime à sélectionner et recruter des candidats, et le cas échéant sur votre consentement (par ex. pour conserver vos données dans une réserve de recrutement).

2.4 Contact et communication

Pour répondre à vos questions et communiquer avec vous via nos canaux (e-mail, téléphone, formulaires de contact…), nous traitons vos données d’identification et de contact (professionnelles), telles que nom, prénom, fonction, organisation, adresse e-mail et numéro de téléphone, ainsi que le contenu de votre message et éventuelles pièces jointes. Cela repose sur l’exécution de mesures (pré)contractuelles à votre demande et/ou sur notre intérêt légitime à traiter efficacement les questions et organiser notre accessibilité.

2.5 Formations, sessions d’information et événements

Lorsque vous vous inscrivez ou participez à une formation, une session d’information ou un événement, nous traitons les données personnelles nécessaires à l’organisation pratique : données d’identification et de contact, données d’inscription, présence et communications pratiques. Le traitement est nécessaire à l’exécution du contrat (inscription/participation) et/ou repose sur notre intérêt légitime à organiser ces activités de manière fluide.

2.6 Marketing et actualités (le cas échéant)

Pour vous informer des mises à jour, formations, événements ou services de CEVI et pour entretenir la relation professionnelle, nous pouvons traiter vos données d’identification et de contact ainsi que vos préférences de communication. Cela repose sur notre intérêt légitime en B2B et/ou sur votre consentement lorsque requis pour des communications électroniques. Vous pouvez vous désinscrire à tout moment via l’option prévue.

2.7 Enquêtes et sondages

Pour recueillir des retours sur nos services, formations ou communication, nous pouvons organiser des enquêtes ou sondages. Nous traitons alors vos réponses, commentaires, et le cas échéant vos données d’identification et de contact, ainsi que certaines métadonnées techniques (par ex. moment de participation). Cela repose sur notre intérêt légitime à améliorer notre qualité et/ou sur votre consentement lorsque requis.

2.8 Traitement d’une demande de déclaration d’applicabilité (Statement of Applicability – SOA)

Pour recevoir, évaluer et traiter une demande de déclaration d’applicabilité, ainsi que pour assurer la communication et le suivi administratif, nous traitons vos données d’identification et de contact et toutes données nécessaires à l’analyse de la demande (informations de référence, éléments fournis, correspondance). Cela repose sur l’exécution de mesures (pré)contractuelles et/ou du contrat, et le cas échéant sur notre intérêt légitime.

2.9 Utilisation du site web, sécurité et cookies

Lors de l’utilisation de nos sites web, nous pouvons traiter des données techniques et d’usage pour assurer le bon fonctionnement, la sécurité, l’amélioration du site et la gestion de vos préférences cookies (adresse IP, logs, données appareil/navigateur, cookies…). Pour les traitements strictement nécessaires, nous nous fondons sur notre intérêt légitime ; pour les cookies non essentiels, nous demandons votre consentement lorsque requis. Plus d’informations dans notre politique relative aux cookies (+ lien).

2.10 Sécurité et sûreté

Pour garantir la sécurité de nos visiteurs, collaborateurs et autres personnes, et pour protéger nos biens, nous mettons en place des mesures de sécurité physiques et numériques. Cela peut impliquer le traitement de données telles que l’identification et les données de contact (ex. registre visiteurs), les données issues de rapports de sécurité, ainsi que des logs et données techniques nécessaires pour détecter les abus, enquêter sur les incidents et surveiller l’intégrité de nos systèmes. Le traitement repose sur notre intérêt légitime et le cas échéant sur une obligation légale.

CEVI ne traite en principe pas de catégories particulières de données (par ex. données de santé, données révélant des opinions politiques, origines ethniques…). Si vous les fournissez explicitement et de votre propre initiative, nous en limitons le traitement au strict nécessaire et uniquement lorsque légalement autorisé.

3. Avec qui CEVI partage-t-elle vos données ?

CEVI traite vos données à caractère personnel avec le plus grand soin et ne les partage que lorsque cela est nécessaire pour les finalités décrites dans la présente déclaration de confidentialité. Vos données peuvent être partagées en interne au sein du Groupe CEVI et de ses sociétés affiliées, dans la mesure où cela est requis pour une organisation adéquate de nos services, de notre support, de notre administration et de notre suivi. En outre, pour certaines activités, nous faisons appel à des prestataires externes qui traitent des données à caractère personnel pour notre compte, tels que des fournisseurs de services informatiques et d’hébergement, de maintenance et de support, de sécurité, d’outils de communication et de mailing, de plateformes d’enquête et d’autres partenaires nous apportant un soutien technique ou organisationnel. Ces parties agissent en tant que (sous-)traitants et ne peuvent traiter vos données que conformément à nos instructions et avec les garanties contractuelles et techniques appropriées.

Dans certains cas, nous partageons des données à caractère personnel avec des tiers qui agissent eux-mêmes en tant que responsables du traitement. Cela peut être le cas, par exemple, avec les tribunaux, instances judiciaires et autorités compétentes lorsque la loi l’exige, lorsqu’une demande légitime nous est adressée, ou lorsque cela est nécessaire pour protéger nos intérêts ou garantir nos droits (par exemple dans le cadre d’un litige — potentiel ou en cours —, d’un audit, d’un incident de fraude ou de sécurité). Nous pouvons également partager des données avec des autorités publiques lorsque nous y sommes légalement tenus.

Tout transfert de données à caractère personnel en dehors de l’Espace économique européen (EEE) ne se fait que lorsque cela est nécessaire et uniquement lorsque des garanties appropriées sont en place. Le cas échéant, nous utilisons des mécanismes reconnus, tels qu’une décision d’adéquation ou des clauses contractuelles types assorties de mesures supplémentaires, afin de garantir un niveau de protection adéquat.

Enfin, nous pouvons également partager vos données avec d’autres parties lorsque vous nous en avez fait la demande, lorsque cela est nécessaire à l’exécution de notre contrat, ou lorsque la loi nous l’impose. Dans tous les cas, nous limitons le partage des données au strict nécessaire et veillons, lorsque requis, à mettre en place les accords et mesures de sécurité appropriés.

4. Combien de temps vos données sont-elles conservées ?

CEVI ne conserve pas vos données à caractère personnel plus longtemps que nécessaire pour les finalités pour lesquelles elles sont traitées, telles que décrites dans la présente déclaration de confidentialité. La durée de conservation concrète dépend de la nature des données, de l’objectif du traitement ainsi que de nos obligations légales ou contractuelles. Lorsque possible, nous appliquons des délais fixes ; dans les autres cas, nous évaluons périodiquement si les données sont encore nécessaires et nous les supprimons ou anonymisons lorsqu’elles ne le sont plus. Dans certaines situations, nous pouvons conserver les données plus longtemps lorsqu’une obligation légale l’exige, lorsque cela est nécessaire pour assurer une gestion administrative correcte, ou pour exercer, établir ou défendre nos droits (par exemple dans le cadre d’un litige — potentiel ou en cours).

Dans la pratique, cela signifie notamment que nous conservons les données relatives à nos relations clients et fournisseurs ainsi qu’aux services contractuels aussi longtemps que la collaboration est en cours, puis pendant une période raisonnable nécessaire au suivi, aux obligations comptables et aux éventuels litiges.

Lorsque la période de conservation applicable est arrivée à son terme, nous anonymisons ou supprimons vos données à caractère personnel. Toutefois, cette suppression ou anonymisation n’a pas lieu lorsqu’un intérêt prépondérant pour CEVI ou pour un tiers justifie une conservation plus longue (par exemple dans le cadre d’un litige — potentiel ou en cours) ou lorsqu’une obligation légale, une décision judiciaire ou administrative nous impose de conserver les données ou nous empêche de les anonymiser ou de les supprimer.

5. Sécurité de vos données

CEVI prend des mesures techniques et organisationnelles appropriées pour protéger vos données à caractère personnel contre la perte, l’accès non autorisé, la modification illicite, la divulgation ou la destruction. Nous tenons compte de la nature des données, des finalités du traitement et des risques potentiels. Concrètement, cela signifie que nous appliquons notamment une gestion stricte des accès et des autorisations (seules les personnes qui en ont besoin y ont accès), des systèmes et réseaux sécurisés, des mécanismes de journalisation et de surveillance, ainsi que, lorsque cela est indiqué, le chiffrement et des sauvegardes. Nous réévaluons régulièrement ces mesures et les adaptons lorsque nos systèmes, processus ou risques évoluent.

Nos collaborateurs et prestataires externes sont également tenus de traiter les données personnelles avec soin. Lorsque nous faisons appel à des tiers pour traiter des données en notre nom, nous établissons les accords contractuels nécessaires et nous attendons d’eux qu’ils appliquent des mesures de sécurité équivalentes.

Nous mettons en œuvre tous les efforts commercialement raisonnables afin de garantir une protection adéquate de vos données à caractère personnel et de prévenir autant que possible tout traitement illicite. Si un incident de sécurité devait malgré tout se produire, nous prenons les mesures nécessaires pour en limiter l’impact et mener une enquête approfondie. Lorsque la loi l’exige, nous notifions toute violation de données à l’autorité de contrôle compétente et, si nécessaire, nous en informons également les personnes concernées.

6. Quels sont vos droits ?

Vous disposez de droits relatifs aux données à caractère personnel que CEVI traite à votre sujet. Vous trouverez ci‑dessous un aperçu de ces droits, pour zoverre ze in uw situatie van toepassing zijn.

Droit d’accès

Vous pouvez demander quelles données à caractère personnel nous traitons à votre sujet et pour quelles raisons. Lorsque des demandes sont manifestement infondées ou excessives (par exemple en cas de demandes répétitives), nous pouvons facturer des frais administratifs raisonnables ou refuser la demande, conformément à la législation.

Droit de rectification

Vous pouvez demander la correction de données inexactes et l’ajout de données incomplètes. Nous pouvons vous demander de fournir les informations ou justificatifs nécessaires pour permettre une mise à jour correcte.

Droit de retirer votre consentement

Lorsque nous traitons vos données sur la base de votre consentement, vous pouvez retirer celui‑ci à tout moment. Cela n’affecte pas les traitements effectués avant le retrait.

Droit à l’effacement

Dans certains cas, vous pouvez demander la suppression de vos données à caractère personnel. Nous évaluerons alors si nous pouvons ou devons conserver certaines données, par exemple en raison d’une obligation légale, d’un ordre judiciaire ou administratif, ou parce que ces données sont nécessaires pour préserver nos droits.

Droit à la limitation du traitement

Dans certaines circonstances, vous pouvez demander de limiter temporairement le traitement de vos données, par exemple lorsque vous contestez l’exactitude de certaines données ou lorsque vous en avez encore besoin dans le cadre d’une procédure juridique.

Droit d’opposition

Lorsque nous traitons vos données sur la base de notre intérêt légitime, vous pouvez vous y opposer pour des raisons liées à votre situation particulière. Vous pouvez également vous opposer à tout moment au traitement à des fins de marketing direct.

Droit à la portabilité des données

Lorsque le traitement est fondé sur votre consentement ou sur un contrat, et qu’il est effectué de manière automatisée, vous pouvez demander à recevoir les données que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine, ou demander leur transfert à un autre responsable de traitement.

Droit relatif à la prise de décision automatisée

Vous avez le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou vous affectant de manière significative, sauf dans les cas autorisés par la loi. CEVI n’utilise actuellement aucune prise de décision automatisée de ce type.

Exercice de vos droits

Vous pouvez exercer vos droits en contactant notre DPO par e‑mail à dpo@cevi.be ou par courrier à :

Bisdomplein 3
9000 Gand (Gent)

Pour éviter tout abus, nous pouvons vous demander de confirmer votre identité.
Nous traitons votre demande dans les délais légaux.

Si vous estimez que CEVI ne traite pas vos données correctement, vous pouvez déposer une plainte auprès de l’Autorité de protection des données :

Gegevensbeschermingsautoriteit / Autorité de protection des données
Drukpersstraat 15 / Rue de la Presse 15
1000 Brussel
contact@apd-gba.be
Tél. : +32 2 274 48 00

Politique de divulgation coordonnée des vulnérabilités

Dans un souci d’amélioration de la performance et de la sécurité de nos systèmes d’information et de nos réseaux, nous avons choisi de mettre en place une politique de divulgation coordonnée des vulnérabilités. Celle‑ci permet aux participants de bonne foi de détecter d’éventuelles vulnérabilités dans les systèmes, équipements et produits de notre organisation, ou de nous communiquer toute information relative à une vulnérabilité découverte.

1. Organisation

Dénomination : Cevi NV
Adresse / siège social :
Bisdomplein 3
9000 GAND

Numéro d’inscription à la Banque-Carrefour des Entreprises (BCE) : BE 0860.972.295
Représentée par : Christoph Verheecke, administrateur délégué

Ci‑après dénommée « l’organisation ».

2. Champ d’application de la politique

Dans un souci d’amélioration de la performance et de la sécurité de nos systèmes d’information et de nos réseaux, nous avons choisi de mettre en place une politique de divulgation coordonnée des vulnérabilités. Ainsi, les participants de bonne foi peuvent détecter d’éventuelles vulnérabilités dans les systèmes, équipements et produits de notre organisation ou nous transmettre toute information relative à une vulnérabilité découverte.

L’accès à nos systèmes et équipements informatiques est strictement accordé dans le seul but d’améliorer leur sécurité et de nous informer des vulnérabilités existantes, et ce dans le respect strict des conditions définies dans ce document.

Notre politique concerne les vulnérabilités de sécurité susceptibles d’être exploitées par des tiers ou pouvant perturber le bon fonctionnement de nos produits, services, réseaux ou systèmes d’information.

Le participant est également autorisé à introduire, ou tenter d’introduire, des données informatiques dans notre système, dans le respect des objectifs et conditions de cette politique.

Cette Responsible Disclosure Policy s’applique à l’ensemble des systèmes du Cevi Group. En cas de doute, il est demandé de nous contacter à l’adresse dpo@cevi.group afin d’obtenir des clarifications.

Toute analyse portant sur des systèmes d’information qui ne relèvent pas explicitement de cette politique peut exposer le participant à des poursuites judiciaires.

3. Obligations réciproques des parties

3.1 Proportionnalité

Le participant s’engage à respecter strictement le principe de proportionnalité : il ne peut perturber la disponibilité des services fournis par le système ni exploiter la vulnérabilité au‑delà de ce qui est strictement nécessaire pour démontrer le problème de sécurité. Son comportement doit rester proportionné : si la vulnérabilité est démontrée à petite échelle, il n’est pas permis d’aller plus loin.

La présente politique n’a pas pour objectif de permettre l’accès intentionnel au contenu de données informatiques, de communications ou de données à caractère personnel. Un tel accès ne peut intervenir que de manière fortuite dans le cadre de la recherche de vulnérabilités.

3.2 Actions interdites

Les actions suivantes ne sont pas autorisées :

  • copier ou modifier des données du système informatique, ou supprimer des données ;
  • modifier les paramètres du système informatique ;
  • installer des logiciels malveillants (virus, ver, cheval de Troie, etc.) ;
  • mener des attaques de déni de service (DDoS) ;
  • effectuer des attaques de type social engineering ;
  • réaliser des attaques de phishing ;
  • envoyer des courriers indésirables (spam) ;
  • voler des mots de passe ou tenter des attaques « brute force » ;
  • installer un dispositif permettant d’intercepter, stocker ou consulter des communications non destinées au public ;
  • intercepter, stocker ou consulter volontairement des communications non publiques ou des communications électroniques ;
  • utiliser, conserver, divulguer ou diffuser des communications ou données dont le participant devait raisonnablement savoir qu’elles avaient été obtenues illégalement.

Si le participant souhaite être assisté par un tiers, il doit s’assurer que ce tiers a préalablement pris connaissance de la présente politique et accepte d’en respecter les conditions.

3.3 Confidentialité

Sans notre accord préalable et explicite, le participant ne peut en aucun cas partager ni divulguer à des tiers les informations obtenues dans le cadre de notre politique.

Il est également interdit de divulguer des données informatiques, de communication ou des données à caractère personnel à des tiers.

Si la vulnérabilité est susceptible de concerner d’autres organisations en Belgique, le participant ou l’organisation responsable peut toutefois en informer le CCB (vulnerabilityreport@cert.be).

3.4 Exécution de bonne foi

Notre organisation s’engage à exécuter la présente politique de bonne foi et à ne poursuivre ni civilement ni pénalement le participant qui respecte les conditions de celle‑ci.

Le participant ne peut agir avec une intention frauduleuse, ni dans le but de nuire, ni dans celui d’exploiter ou de causer un dommage au système visité ou à ses données. Cela vaut également pour les systèmes tiers en Belgique ou à l’étranger.

En cas de doute sur certaines conditions, le participant doit consulter préalablement notre point de contact et obtenir son accord écrit avant d’agir.

3.5 Traitement des données à caractère personnel

Une politique CVDP n’a pas pour objectif le traitement intentionnel de données à caractère personnel. Cependant, il est possible que le participant traite accidentellement certaines données dans le cadre de sa recherche de vulnérabilités.

Le traitement de données personnelles a un sens large : stockage, modification, consultation, utilisation ou communication de données permettant d’identifier directement ou indirectement une personne physique (par ex. adresse e‑mail, numéro d’identification, identifiant en ligne, adresse IP, données de localisation).

Si un traitement limité est nécessaire, il doit être effectué conformément au RGPD.

Le participant peut faire appel à un tiers pour son analyse, mais doit s’assurer que celui‑ci respecte la présente politique, y compris la confidentialité et les mesures de sécurité. Le participant demeure pleinement responsable si le tiers ne respecte pas ses obligations.

Si le participant traite des données personnelles stockées ou traitées par notre organisation d’une manière contraire à cette politique ou pour d’autres finalités que la détection de vulnérabilités, il reconnaît qu’il sera considéré comme responsable du traitement et en assumera l’entière responsabilité.

3.6 Attribution d’une récompense

En remerciement de toute notification d’un problème de sécurité encore inconnu de Cevi, nous offrons la possibilité d’être mentionné dans notre « Hall of Fame » disponible sur cette page.

4. Comment signaler une vulnérabilité ?

4.1 Point de contact

Les informations découvertes doivent être envoyées exclusivement à l’adresse suivante :
dpo@cevi.group

Après prise de contact, un canal de communication sécurisé sera défini pour échanger les informations techniques.

Vous pouvez également contacter le service ou la personne responsable au numéro suivant :
+32 9 264 07 01

4.2 Informations à fournir

Veuillez nous transmettre, dès que possible après votre découverte, les informations pertinentes en utilisant le formulaire PDF prévu à cet effet.

5. Procédure

5.1 Découverte

Lorsque le participant découvre une possible vulnérabilité, il doit réaliser, autant que possible, des vérifications préalables afin de confirmer son existence et d’identifier les risques éventuels.

5.2 Notification

Le participant s’engage à transmettre les informations techniques relatives aux vulnérabilités dès que possible au point de contact défini, en utilisant les moyens de communication sécurisés.

Notre organisation s’engage à envoyer un accusé de réception et à informer le participant des prochaines étapes.

5.3 Communication

Les parties s’engagent à maintenir une communication régulière et efficace. Les informations fournies peuvent être essentielles pour comprendre et résoudre la vulnérabilité.

En cas d’absence de réponse raisonnable, les parties peuvent solliciter le Centre pour la Cybersécurité Belgique (CCB) comme coordinateur.

5.4 Analyse

Notre organisation reproduira l’environnement et la méthodologie signalée afin de vérifier les informations communiquées.

Nous informerons régulièrement le participant de l’avancement de l’enquête.

5.5 Développement d’une solution

L’objectif de cette politique est de permettre la mise en place d’une solution corrigeant la vulnérabilité avant qu’un dommage ne survienne.

En tenant compte de l’état de la technique, des coûts, de la gravité des risques et des contraintes techniques, nous visons à développer une solution dans un délai maximal de 90 jours calendrier.

Des tests positifs et négatifs seront ensuite réalisés pour vérifier la qualité et l’absence d’impact sur d’autres fonctionnalités.

5.6 Éventuelle divulgation publique

Notre organisation décidera, en concertation avec le participant, de la manière dont la vulnérabilité pourra éventuellement être rendue publique. Celle‑ci ne pourra être annoncée qu’au moment où une solution est disponible et qu’un avis de sécurité a été communiqué aux utilisateurs.

Si la vulnérabilité affecte également d’autres organisations, l’organisation responsable doit obligatoirement en informer le CCB.

Nous nous engageons également à recueillir les retours des utilisateurs et à prendre les mesures correctives nécessaires.