La loi n°78-17 du 6 janvier 1978 modifiée par la loi n°2004-801 du 6 août 2004 et la loi n°2016-1321 du 7octobre 2016 relative à l’informatique, aux fichiers et aux libertés définit les conditions dans lesquelles des traitements de données à caractère personnel peuvent être effectués.
Ce document définit, à cet effet, pour nos parties prenantes :
1. Les conditions d’accès et les règles d’utilisation des moyens informatiques optimales à mettre en place,
2. Les mesures prises par newenergy et newenergy veille pour assurer la sécurité des données personnelles dans le cadre du Règlement Général sur la Protection des Données (RGPD),
3. Les droits d’information, d’opposition, de vérification, de rectification, de copie, de portabilité ou d’effacement des données personnelles.
Ce paragraphe a pour objet de sensibiliser les utilisateurs aux risques liés à l’utilisation des ressources en termes d’intégrité et de confidentialité des informations traitées. Ces risques imposent le respect de certaines règles de sécurité et de bonne conduite. L’imprudence, la négligence ou la malveillance d’un utilisateur peuvent, en effet, avoir des conséquences graves de nature à entraîner une fuite, une destruction ou une dégradation des données du client.
Les présentes recommandations s'appliquent à tout utilisateur (toute personne autorisée à accéder aux outils informatiques du client et à les utiliser : employés, stagiaires, intérimaires, prestataires, sous-traitants...) de votre système informatique pour l’exercice de ses activités professionnelles.
• L’utilisation à titre privé de ces outils devrait être strictement interdite.
• newenergy et newenergy veille recommandent que ce paragraphe soit diffusé à l’ensemble des utilisateurs par une note de service systématiquement remise à tout nouvel arrivant.
Chaque utilisateur accède aux outils informatiques nécessaires à l’exercice de son activité professionnelle dans les conditions définies ci-dessous.
Les utilisateurs sont assujettis au devoir de réserve et sont tenus de préserver la confidentialité des données qu’ils sont amenés à connaître dans le cadre de leurs fonctions.
Tout utilisateur s’engage à respecter les règles de sécurité suivantes :
• Signaler au responsable informatique, ou au responsable du service, toute violation ou tentative de violation suspectée de son compte réseau et, de manière générale, tout dysfonctionnement,
• Ne jamais confier ses identifiant/mot de passe,
• Ne jamais demander ses identifiant/mot de passe à un collègue ou à un collaborateur,
• Ne pas masquer sa véritable identité,
• Ne pas usurper l'identité d'autrui,
• Ne pas modifier les paramétrages du poste de travail,
• Ne pas installer de logiciels sans autorisation. Ne pas copier, modifier, détruire les logiciels propriétés duclient,
• Verrouiller son ordinateur dès qu’il quitte son poste de travail,
• Ne pas accéder, tenter d'accéder, supprimer ou modifier des informations qui ne lui appartiennent pas,
• Soumettre à l’accord de son supérieur hiérarchique toute demande de copie de données sur un support externe et respecter les règles définies par la règlementation en vigueur.
En outre, il convient de rappeler que les visiteurs ne devraient pas avoir accès au réseau informatique sans l'accord préalable du responsable du service. Les intervenants extérieurs doivent s'engager à faire respecter les présentes règles par leurs propres salariés et entreprises sous-traitantes.
Dès lors, les contrats signés entre le client et tout tiers ayant accès aux données, aux programmes informatiques ou autres moyens, doivent comporter une clause rappelant cette obligation.
newenergy et newenergy veille, prenant très à cœur la protection des données personnelles de leurs parties prenantes, ont réalisé une mise en conformité complète au regard du RGPD. Celles-ci sont formalisées et sont tenues à la disposition de la CNIL et de toutes les parties prenantes qui en feraient la demande.
newenergy et newenergy veille ont désigné une déléguée à la protection des données à caractère personnel(DPO) : Mme. Laura BARNABO (newenergy : n° DPO-540 et newenergy veille n°DPO-541).
Téléphone : 04.90.39.21.33
Mail : laurabarnabo@new-energy.fr
Cette dernière a pour mission de veiller au respect des dispositions de la loi n°78-17 du 6 janvier 1978 modifiée.
Elle est obligatoirement consultée par le responsable des traitements préalablement à toute nouvelle intégration de données.
Elle recense dans des registres la liste de l’ensemble des traitements de données à caractère personnel de newenergy et newenergy veille au fur et à mesure de leur mise en œuvre.
L’utilisation, à titre privé, des outils informatiques est strictement interdite.
Une charte de confidentialité relative à la Protection des Données est signée par chaque utilisateur et toute modification de cette dernière est diffusée par note de service.
Des actions de communication internes sont organisées régulièrement afin d’informer les utilisateurs des pratiques recommandées.
Nous avons défini des mesures techniques et organisationnelles permettant de protéger vos données de façon appropriée selon leur nature, l’étendue du traitement et leur accessibilité.
Le détail des mesures de protection appliqués est disponible sur simple demande.
newenergy et newenergy veille ont effectué une mise en conformité complète et tient des registres détaillés de chacune de ses pratiques.
Pour ce faire, divers documents sont tenus à la disposition de la CNIL ou ont été envoyés à chacune des parties prenantes de newenergy et newenergy veille :
1. Un audit complet relatif au traitement de ses données, intégrant le registre des sous-traitants et des prestataires,
2. Le présent document relatif au traitement des données personnelles des parties prenantes,
3. Une politique de protection des données à caractère personnel à l’attention de chaque partieprenante,
4. Un total de 18 registres répondant à la législation en vigueur,
5. Trois outils de travail nécessaires au suivi des demandes, à l’évaluation des sous-traitants et aux suppressions de données.
Ont également été mis à jour avec l’ajout des mentions et/ou des mesures prises par newenergy et newenergy veille :
1. Les contrats de prestation,
2. Les Conditions Générales de Vente.
newenergy et newenergy veille, afin de mener à bien leurs missions, doivent collecter un certain nombre de données personnelles concernant leurs parties prenantes.
Conformément au principe de minimisation, newenergy et newenergy veille ne peuvent recueillir directement auprès de vous, que les données nécessaires au regard des finalités pour lesquelles elles sont traitées.
La collecte de ces données est requise par le contrat conclu ou en vue de la conclusion d’un contrat.
Ces données sont automatiquement supprimées après l’achèvement des relations qui vous lient à l’une ou l’autre des structures selon des délais définis règlementairement.
Vos données à caractère personnel sont traitées par le personnel habilité de newenergy et de newenergy veille.
L’ensemble de leurs collaborateurs est soumis à une clause de confidentialité et seule la Direction a accès à l’ensemble de vos données personnelles. Aucune donnée ne sort du territoire français.
Des sous-traitants peuvent également être chargés de les traiter dans le plus grand respect du Règlement Général sur la Protection des Données (RGPD).
newenergy et newenergy veille s’occupent de réaliser tous les contrôles de conformité nécessaires avant de confier des données personnelles à des tiers afin de s’assurer de leur conformité RGPD.
Le détail des sous-traitants ayant accès à vos données est disponible sur simple demande, ainsi que le détail des contrôles réalisés par newenergy et newenergy veille.
La CNIL a défini, dans le cadre des lois citées précédemment, un certain nombre de droits dont chaque personne morale ou physique dispose. newenergy et newenergy veille vous les restituent ci-après afin que vous en soyez informés.
Vous pouvez exercer vos droits à tout moment en contactant la DPO de newenergy et de newenergy veille.
Vous devrez, à cette occasion, fournir vos nom, prénom, adresse électronique, numéro d’appel et cachet afin d’authentifier votre demande et constater que la demande n’est pas faite à votre insu.
Vos données à caractère personnel peuvent être conservées ou supprimées après votre décès conformément à la Réglementation. Vous disposez du droit de donner instruction à newenergy ou à newenergy veille de communiquer ces données à un tiers que vous aurez préalablement désigné.
En cas d’insatisfaction, vous avez la possibilité de saisir la Commission Nationale de l’Informatique et des
Libertés (CNIL) à l’adresse suivante :
CNIL
3 place de Fontenoy
TSA 8071575334 Paris cedex 07
Toute donnée vous concernant sera supprimée automatiquement au regard des délais de conservation définis règlementairement.
Le détail des durées de conservations est disponible sur simple demande.
Vous avez facilement accès à l’information
L’information doit être concise, lisible et facilement accessible. Elle est rédigée de la manière la plus claire, précise et simple possible. Un utilisateur n’a pas besoin d’être un expert pour prendre connaissance de la charte de confidentialité d’un réseau social ou d’une banque. De la même manière, si un organisme cible des enfants ou des personnes vulnérables, celui-ci devra proposer une information adaptée.
Avant de collecter vos données, un organisme doit donc faire preuve de transparence et vous permettre des avoir :
1. Pourquoi il collecte vos données?
2. Comment il sera amené à les utiliser ?
3. Comment maîtriser vos données et exercer vos droits ?
Une lecture suffit pour avoir un bon aperçu de l’utilisation qui sera faite de vos données
Un organisme doit vous proposer une notice d’information sur la protection de vos données. Cette page doit être accessible depuis la page d’accueil du site de l’organisme sous un intitulé clair (« politique de confidentialité »,« page vie privée », ou « données personnelles »). Celle-ci doit notamment vous informer sur :
• Les coordonnées du délégué à la protection des données de l’organisme ou d’un contact sur les questions liées à la protection des données personnelles,
• L’utilisation qui sera faite de vos données,
• Ce qui autorise l’organisme à traiter vos données
,• Les tiers qui auront accès à vos données
• La durée de conservation de vos données,
• Les modalités d’accès à vos droits et la possibilité d’introduire une réclamation à la CNIL,
• La base juridique du traitement de données (C’est-à-dire ce qui autorise légalement le traitement : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.).
Selon le cas :
1. L’existence d’une prise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée.
2. Le fait que les données soient requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat,
3. Le droit au retrait du consentement à tout moment
Et en cas de collecte indirecte effectuée par un partenaire commercial :
4. Les catégories de données recueillies,
5. La source des données en indiquant notamment si cette source est accessible au public.
Vous pouvez vous opposer, à tout moment, à ce qu’un organisme utilise certaines de vos données, qu’elles figurent dans un fichier ou qu’elles soient transmises, conservées ou diffusées.
Dans votre demande, expliquez quelles données vous souhaitez voir supprimées et pour quelle raison « tenant à votre situation particulière ».
Vous pouvez exercer votre demande de droit d’opposition par divers moyens et sans apporter de justificatifs : par voie électronique (Formulaire, adresse mail, compte en ligne etc.) ou par courrier.
Que faire en cas de refus ou d'absence de réponse ?
L’organisme doit prouver que des motifs légitimes et impérieux lui imposent de continuer à traiter vos données malgré votre demande, ou justifier que vos données sont nécessaires pour la constatation, l’exercice ou la défense de droits en justice.
Si vous exercez votre droit d’opposition :
- Pour ne plus recevoir de prospection commerciale :
L’organisme doit procéder à l’effacement de votre adresse mail de sa base de prospection dans les meilleurs délais.
- Pour voir une information personnelle supprimée d’une base de données
L’organisme dispose d’un délai d’un (1) mois pour vous répondre.
En cas de réponse insatisfaisante ou d’absence de réponse sous un (1) mois, vous pouvez saisir la CNIL.
Quelles sont les limites du droit ?
Le droit d’opposition n’est pas un droit à la suppression simple et définitive de toutes vos données ou du compte qui vous est rattaché. Par exemple, seule une rupture de contrat permet la suppression d’un compte chez votre opérateur mobile ou un site de e-commerce.
Si votre demande d’opposition ne concerne pas la prospection, l’organisme pourra justifier son refus au motif que :
- Il existe des motifs légitimes et impérieux de traiter les données ou que celles-ci sont nécessaires à la constatation, exercice ou défense de droits en justice,
- Vous avez consenti. Dans ce cas vous devez retirer ce consentement et non vous opposer,
- Un contrat vous lie avec l’organisme,
- Une obligation légale lui impose de traiter vos données,
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique.
Vous pouvez demander à un organisme s'il détient des données sur vous (Site web, magasin, banque...) et demander que l’on vous les communique pour en vérifier le contenu.
L'exercice du droit d’accès permet de savoir si des données vous concernant sont traitées et d’en obtenir la communication dans un format compréhensible. Il permet également de contrôler l'exactitude des données et, au besoin, de les faire rectifier ou effacer
.L’organisme auprès duquel vous demandez votre « droit d’accès » doit être en mesure de vous faire parvenir une copie des données qu’il détient sur vous et de vous renseigner sur :
- Les finalités d’utilisation de ces données,- Les catégories de données collectées,
- Les destinataires ou catégories de destinataires qui ont pu accéder à ces données,
- La durée de conservation des données ou les critères qui déterminent cette durée,
- L’existence des autres droits (droit de rectification, d’effacement, de limitation, d’opposition),
- La possibilité de saisir la CNIL,
- Toute information relative à la source des données collectées si celles-ci n’ont pas directement étérécoltées auprès de vous,
- L’existence d'une prise de décision automatisée, y compris en cas de profilage, et la logique sous jacente, l’importance et les conséquences pour vous d’une telle décision.
La demande devra être effectuée par le biais des mêmes modalités que celles précédemment exposées.
L’organisme peut vous demander de joindre tout document permettant de prouver votre identité (Pièce d’identité…). Cela permet d’éviter les usurpations d’identité. En revanche, il ne peut pas vous demander des pièces justificatives qui seraient abusives et disproportionnées par rapport à votre demande.
L’accès à ce droit est gratuit. Dans certains cas, des frais raisonnables liés au traitement de votre dossier pourront vous être demandés, par exemple en cas de demande d’une copie supplémentaire.
Que faire en cas de refus ou d'absence de réponse ?
L’organisme doit vous répondre dans les meilleurs délais et au plus tard dans un délai d’un (1) mois, qui peut être porté à trois (3) mois compte tenu de la complexité de la demande ou du nombre de demandes que l’organisme a reçu. Dans ce dernier cas, l’organisme doit vous informer des raisons de cette prolongation dans le délai d’un(1) mois.
Si l’organisme ne répond pas dans le délai d’un (1) mois ou ne vous informe pas d’une prolongation de délai, vous pouvez adresser une plainte auprès de la CNIL avec les éléments attestant de vos démarches préalables.
Quelles sont les limites du droit d’accès ?
Certains fichiers sont particulièrement encadrés.
Pour certains fichiers de police ou intéressant la sûreté de l'Etat, la Loi n’autorise pas un particulier à accéder directement aux informations contenues dans le fichier. Il pourra cependant y accéder de manière indirecte parl’intermédiaire de la CNIL.
Si l’organisme estime que votre demande est infondée ou excessive, il peut ne pas y donner suite à condition d’être en mesure d’apporter la preuve de ce caractère « infondé » ou « excessif ».Les droits ou libertés d’autrui sont également des limites : l’exercice de votre droit d’accès ne doit pas porter atteinte :
- Au droit des tiers. Seules vos données peuvent être communiquées au titre du droit d’accès,
- À la propriété intellectuelle : par exemple le droit d’auteur, lorsqu’il protège le logiciel,
- Au secret des affaires,
- Etc…
Vous pouvez demander la rectification des informations inexactes ou incomplètes vous concernant. Cela permet d’éviter qu’un organisme utilise ou diffuse des informations erronées sur vous.
Vous pouvez exercer gratuitement votre demande de droit de rectification par divers moyens : par voie électronique (Formulaire, adresse mail, bouton de téléchargement etc.) ou par courrier.
L’organisme pourra vous demander des informations pour confirmer votre identité, en cas de doutes raisonnables sur celle-ci (Copie de pièce d’identité…). Si vous souhaitez compléter vos données, une déclaration ou des éléments complémentaires peuvent vous être demandés. L’organisme ne doit pas vous demander de pièces justificatives qui seraient abusives ou disproportionnées par rapport à votre demande.
Que faire en cas de refus ou d'absence de réponse ?
L’organisme doit vous répondre dans les meilleurs délais et au plus tard dans un délai d’un (1) mois, qui peut être porté à trois (3) mois compte tenu de la complexité de la demande ou du nombre de demandes que l’organisme a reçu. Dans ce dernier cas, l’organisme doit vous informer des raisons de cette prolongation dans le délai d’un(1) mois.
Si l’organisme ne répond pas dans le délai d’un (1) mois ou ne vous informe pas d’une prolongation de délai, vous pouvez adresser une plainte auprès de la CNIL avec les éléments attestant de vos démarches préalables.
Quelles sont les limites du droit d’accès ?
Le droit de rectification ne s'applique pas aux traitements littéraires, artistiques et journalistiques.
Il est exercé différemment pour les fichiers de police, de gendarmerie, de renseignement, FICOBA. Pour ce qui concerne ces fichiers - soumis au droit d’accès indirect via la CNIL - vous ne pouvez pas solliciter la rectification auprès des services concernés. Un magistrat de la CNIL est chargé de procéder aux rectifications nécessaires vous concernant.
Concernant la rectification de données de personnes décédées, les héritiers peuvent exiger de l’organisme la prise en considération du décès ou les mises à jour nécessaires.
Qu’il s’agisse d’une photo gênante sur un site Internet ou d’une information collectée par un organisme que vous jugez inutile, vous pouvez obtenir son effacement si au moins une de ces situations correspond à votre cas :
Vos données sont utilisées à des fins de prospection,
Les données ne sont pas ou plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées,
- Vous retirez votre consentement à l’utilisation de vos données,
- Vos données font l’objet d’un traitement illicite (Publication de données piratées…),
- Vos données ont été collectées lorsque vous étiez mineur dans le cadre de la société de l’information(Blog, forum, réseau social, site web…),
- Vos données doivent être effacées pour respecter une obligation légale,
- Vous vous êtes opposé au traitement de vos données et le responsable du fichier n’a pas de motif légitime ou impérieux de ne pas donner suite à cette demande.
Vous pouvez exercer votre droit d’effacement par divers moyens
Par voie électronique (Formulaire, adresse mail, bouton de téléchargement etc.) ou par courrier, par exemple.
Il est très important d’indiquer précisément quelles sont les données que vous souhaitez effacer. En effet, l’exercice de ce droit n’entraine pas la suppression simple et définitive de toutes les données vous concernant qui sont détenues par l’organisme. Par exemple, une demande d’effacement de votre photo sur un site n’aboutira pas à la suppression de votre compte. De même, une demande de suppression de votre compte n’entrainera pas la suppression des factures et autres documents comptables relatifs à vos achats, pour lesquels une obligation légale de conservation existe.
L’organisme peut vous demander de joindre une copie de votre pièce d’identité ou tout autre document permettant de prouver votre identité, mais pas des pièces justificatives abusives ou disproportionnées par rapport à votre demande.
Que faire en cas de refus ou d'absence de réponse ?
Le responsable du fichier droit procéder à l’effacement, dans les meilleurs délais, et au plus tard dans un délai d’un (1) mois, qui peut être porté à trois (3) mois compte tenu de la complexité de la demande. Dans ce dernier cas, l’organisme doit vous informer des raisons de cette prolongation. En cas de réponse insatisfaisante oud’absence de réponse sous un (1) mois, vous pouvez saisir la CNIL.
Quelles sont les limites du droit d’accès ?
Le droit à l’effacement est écarté dans un nombre de cas limité. Il ne doit pas aller à l’encontre :
- De l’exercice du droit à la liberté d’expression et d’information,
- Du respect d’une obligation légale (Ex. délai de conservation d’une facture = 10 ans),
- De l’utilisation de vos données si elles concernent un intérêt public dans le domaine de la santé,
- De leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques,
- De la constatation, de l’exercice ou de la défense de droits en justice.
Avec le droit à la portabilité des données, vous pouvez demander à récupérer les données que vous avez fournies à une plateforme, pour un usage personnel ou pour les transmettre à un tiers de votre choix. Ce nouveau droit vise à renforcer la maîtrise de vos données personnelles et à vous permettre de tirer vous aussi partie de leur pouvoir.
La méthodologie
Sur votre espace client ou sur des pages d’information concernant vos droits et la politique d’usage des données, vous devez trouver des informations pratiques et concrètes vous permettant d’exercer votre droit à la portabilité.
Pour exercer ce droit auprès de newenergy ou de newenergy veille, il suffit d’envoyer une demande écrite à la DPO qui se chargera d’exporter vos données et de vous les transmettre via une plateforme sécurisée.
Les données exportables/les formats
Seules les données recueillies avec votre accord ou dans le cadre d’un contrat sont concernées ! Le droit à la portabilité concerne par exemple des informations que vous avez déclarées (ex. coordonnées, like, …) mais également des données tirées de votre activité (historique d’achat, données enregistrées par une montre connectée …). Inversement, les images de vidéosurveillance, votre déclaration d’impôt, vos données de badgeuse ne sont pas concernées par le droit à la portabilité. Il en va de même pour les données dérivées, calculées ou inférées à partir des informations que vous avez fournies. Par exemple votre note sur un site de vente en ligne par d’autres utilisateurs, votre catégorisation dans des segments marketing, votre simulation de prêt ou votre résultat d’analyse de risque de crédit.
Ces données doivent être fournies dans un format « structuré, couramment utilisé et lisible par une machine ».Cela veut dire que l’organisme doit vous proposer des formats de données adaptés au type de données concernées, en privilégiant des formats ouverts, interopérables. A titre d’exemple, vos données de contacts ou carnets d’adresses peuvent être fournies en format « vCard » (ou VCF), ou vos données de localisation en format .JSON. De manière plus générique, des formats ouverts comme le CSV ou le JSON seront dans de nombreux cas adaptés à la portabilité. En revanche, des données fournies dans un format difficile à traiter (par exemple une image ou un PDF) ou un format propriétaire dont l’utilisation implique l’acquisition d’un logiciel ou d’une licence payante ne seront a priori pas des formats adaptés.
Que faire en cas d’opposition ?
1. Identifiez l’organisme puis rendez-vous sur la page d’information réservée à l’exercice de vos droits sur le site internet de l’organisme (« politique confidentialité », « politique vie privée », « mention légales », etc).
2. Demandez des précisions sur la présence ou non d’un dispositif permettant d’exercer votre droit à laportabilité
3. En cas de refus ou d’absence de réponse satisfaisante, vous pouvez saisir la CNIL d’une réclamation en n’oubliant pas de joindre les preuves de votre démarche auprès de l’organisme (copie d’écran, e-mail de réponse …)
Quelles sont les limites du droit d’accès ?
Souvenez-vous que si certaines données ne sont pas portables, et donc pas réutilisables, elles restent susceptibles de vous être remises dans un format « lisible par un humain » dans le cadre du droit d’accès. Par exemple, votre banque devra pouvoir vous indiquer votre analyse de risque de crédit dans le cadre d’une demande de droit d’accès, même si elle n’a pas à vous fournir cette donnée dans un format répondant aux exigences du droit à la portabilité (par exemple, en vous l’envoyant dans un document écrit, en pdf ou en format web).Il ne s’applique que si vos données sont traitées de manière automatisée (les fichiers papiers ne sont donc pas concernés) et sur la base de votre consentement préalable ou de l’exécution d’un contrat conclu avec vous.
L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers, dont les données se trouveraient dans les données transmises suite à une demande de portabilité. Par exemple, votre opérateur téléphonique pourra vous transmettre une liste de vos contacts, qui comporte naturellement les données de vos interlocuteurs. En revanche, le nouvel opérateur à qui vous transmettez cette liste ne pourra pas utiliser les données de vos interlocuteurs pour faire de la prospection.