Organisme |
|
Représentant légal |
|
Contrôleur / Délégué à la Protection des Données |
|
Désignation | Activité générale de l'organisme |
Finalité(s) | objet(s) (cf statuts ou site internet) |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6 | Conformément à la législation, selon le traitement considéré, soit : vous exprimez un consentement explicite, nous concluons un contrat avec vous, nous effectuons un traitement légitime, ou d'intérêt public, ou nécessaire à la sauvegarde des intérêts vitaux de la personne concernée. | |
Non définie | Autres fondements | Les conditions de licéité du traitement sont plus précisément définies selon les dispositions légales ou réglementaires en vigueur, le contenu des contrats, le statut de notre organisme, ou la documentation jointe lors de la collecte ou durant le traitement lui-même |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
02 Internautes | Informations permettant d'améliorer et de personnaliser la navigation des internautes | Oui |
10 Prospects | Informations nécessaires aux activités pré commerciales (prospection, devis) | Oui |
11 Clients | Données nécessaires aux activités d'informations commerciales | Oui |
13 Fournisseurs, partenaires, cotraitants | Données nécessaires pour les achats et activités partenaires | Oui |
20 Employés de l'organisme | Informations RH concernant les employés et leurs activités | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Selon référentiels RGPD (données actives) | 01 Base active | Archivage | Les durées de conservation des données sont régies selon chaque finalité de traitement, à défaut par la loi Informatique et Libertés du 17 juin 2019 comportant les dispositions relatives aux « marges de manœuvre nationales » autorisées par le Règlement général sur la Protection des Données (RGPD) et, plus précisément, selon les fondements auxquels notre organisme ou le traitement est soumis |
5 à 10 ans (données comptables, fiscales, RH) | 03 Archives intermédiaires | Suppression | L'organisme archive les informations, documents et fichiers pour répondre à ses obligations légales en matière comptable, fiscale et gestion du personnel (code des impôts, art 3171-16) |
Selon référentiels RGPD (données en archives) | 03 Archives intermédiaires | Autre | L'organisme archive des informations, documents et fichiers, avec le consentement des personnes concernées, pour faciliter d'autres traitements connexes ou ultérieurs |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
Méthode(s) de consentement | Nous nous conformons à loi "Informatique et Libertés" et respectons ses fondements en informant préalablement à chaque traitement la personne concernée par le biais de cette politique, et selon la nature du traitement, soit nous sollicitons la personne concernée pour obtenir son consentement, établir des contrats ou des conventions, soit nous effectuons un traitement légitime, légal ou nécessaire à la sauvegarde des intérêts vitaux de la personne concernée. |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Via le site organisme.com, rubrique "Mentions légales" ainsi que des informations spécifiques lors de chaque traitement |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les personnes peuvent exercer leurs droits en s'adressant à la direction ou au DPO, par téléphone ou mail, en se rendant dans les locaux de l'organisme ou via le site internet rubrique "Données personnelles". Pour tout recours, elles peuvent s'adresser à la CNIL |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Lorsque la récupération des données traitées par l'organisme est prévue, des procédures spécifiques à chaque traitement sont mises en œuvre : envoi des données par l'organisme, récupération au fil de l'eau lors d'échanges de documents ou conversations, ou bien à travers un compte utilisateur par exemple |
Destinataires |
Type |
Commentaire |
---|---|---|
Employés | Groupe | |
Sous-traitants | Groupe |
Destinataires |
Motif d'envoi d'informations |
Commentaire |
---|---|---|
Administrations et organismes d'état | 03 Information du législateur | |
Banques ou autres organismes financiers | 01 Pour traitement(s) connexe(s) | |
Fournisseurs | 04 Statistiques en rapport avec la finalité |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | L'organisme sous-traite le déploiement et l'entretien de son système d'information à un prestataire professionnel qui maintient contractuellement le système opérationnel et supervise "en temps réel" l'utilisation des matériels et applications de l'organisme |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesure organisationnelle | L'organisme a élaboré une charte l'engageant envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits |
Protection physique des accès aux locaux et aux postes informatiques | Mise en œuvre de d'alarmes, serrures et autres contrôles physiques permettant de conditionner l’accès aux locaux, aux supports de données et équipements réseaux | Mesure physique | |
Alertes sur métriques | Des solutions de monitoring système ou réseau, avec des graphiques et des règles d'alerte ont été paramétrées et un utilisateur formé, afin de remonter des pertes de performances, pannes ou anomalies | Mesure technologique | Des solutions de monitoring système ou réseau, avec des graphiques et des règles d'alerte ont été paramétrées et un utilisateur formé, afin de remonter des pertes de performances, pannes ou anomalies |
DPO désigné | Le Délégué à la Protection des Données (DPO) veille à la conformité de son organisme au regard de la réglementation applicable en matière de protection des données personnelles | Mesure organisationnelle | Le Délégué à la Protection des Données (DPO) veille à la conformité de son organisme au regard de la réglementation applicable en matière de protection des données personnelles |
Supervision par un SOC | L'analyste SOC (security operation center) a pour mission la surveillance du système d'information d'une entreprise au sens large afin de détecter toutes les activités suspectes ou malveillantes. | Mesure organisationnelle | |
RSSI désigné | Le Responsable de la Sécurité et du Système d'Information définit les règles en règle en terme de sécurité et contrôle leur application | Mesure organisationnelle | Le Responsable de la Sécurité et du Système d'Information définit les règles en règle en terme de sécurité et contrôle leur application |
Désignation | Edition du site internet |
Finalité(s) | - permettre la présentation de l'organisme, ses activités et la consultation de son catalogue produits - proposer un formulaire de contact et l'achat en ligne - mesurer l'audience (nbre de visites, de pages vues activité des visiteurs, ...) pour adapter nos offres et nos présentations - recueillir des informations sur les centres d’intérêt au travers des produits consultés sur notre site et collecter des données de navigation afin de personnaliser l’offre publicitaire qui vous est adressée sur et en dehors du site |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
Règlement européen | Cookies et traceurs | Consentement selon Réglementation Européenne sur les cookies et autres traceurs, article 5(3) de la directive 2002/58/CE | la CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement. |
Référentiel | Site internet | Mentions obligatoires sur un site : service-public.fr, F31228 |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
02 Internautes | 09 Identifiants : adresse ip, terminal utilisé, id d'authentification, source | Non |
02 Internautes | 14 Identifiants : ID unique de publicité (internet, cookie third party) | Non |
02 Internautes | 29 Activités : navigation internet, cookie (URL, adresse ip de l'ordinateur, moment, actions effectués…) | Non |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
13 mois (Cookies et traceurs) | 01 Base active | Suppression | à l'issue de la période ou en cas de retrait du consentement, l'internaute est invité à donner à nouveau son consentement ; |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
Méthode(s) de consentement | Le bandeau cookies apparait dès que l'utilisateur arrive sur le site et il doit choisir "accepter tout" , "refuser" ou "gérer les préférences" |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Lorsque le bandeau est affiché, en cliquant sur "Paramètre des cookies", l'internaute visualise les catégories de cookies. |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Soit en cliquant sur "autoriser tous les cookies", soit sur "Paramètre des cookies" depuis le bandeau qui s'affiche en avant-plan à la première visite, puis en raccourci lors des visites suivantes. "un bouton glissant" permet d'activer ou de de désactiver le suivi |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Destinataires |
Motif d'envoi d'informations |
Commentaire |
---|---|---|
Google Ads | 05 Pour information commerciale (produits/services identiques) |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | Hors U.E. |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Les données anonymisée ne nécessitent pas de mesures particulières. L'utilisation des cookies tiers sont strictement encadrées et font l'objet d'un consentement |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Politique de Confidentialité des Cookies | Elle s’impose aux responsables du ou des traitements qui déposent des traceurs soumis au consentement en application de l’article 82 de la loi Informatique et Libertés | Mesure organisationnelle | |
Outil de gestion des cookies | Les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs, tandis que d’autres sont dispensés du recueil de ce consentement | Mesure technologique | |
Données stockées dans une infrastructure SaaS | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
L'authentification est soumise à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique |
Désignation | Activités de Social Selling |
Finalité(s) | - Acquisition d'informations sur les utilisateurs de réseaux sociaux - Emissions de messages ciblés vers des abonnées (réseaux sociaux, forums) - Echanges en ligne, publications dans des forums, chat live |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
Référentiel | Prospection numérique | CNIL Maitrisez votre relation client CNIL Thématique, la prospection commerciale | |
RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. | L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
03 La personne enregistrée | 03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..) | Oui |
03 La personne enregistrée | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Oui |
03 La personne enregistrée | 25 Activités : activités sur les réseaux sociaux (posts, forums...) | Non |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant que la personne n'a pas retiré son consentement | 01 Base active | Suppression | et qu'elle reste abonné au réseau social concerné |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Prior consent to a third-party |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par les réseaux sociaux : au moment de l'inscription de la personne, les conditions d'utilisation des réseaux sont affichées et doivent être acceptées. |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les réseaux sociaux disposent de tableaux de bord permettant aux personnes de paramétrer leur préférences de communication et de publicité |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Les réseaux sociaux disposent de procédures de portabilité et de gestionnaires du sort des données |
Destinataires |
Motif d'envoi d'informations |
Commentaire |
---|---|---|
Réseaux sociaux | 05 Pour information commerciale (produits/services identiques) | Le gestionnaire du réseau social collecte certaines informations concernant les interactions entre ses utilisateurs |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | Hors U.E. USA |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Les comptes dédiés à ce traitement sont détenus par les personnes habilités ; dès lors que la personne concernée effectue une demande concernant ses achats, une conversation privée est initiée |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
Données stockées dans une infrastructure SaaS | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
L'authentification est soumise à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesure technologique |
Désignation | Activités marketing et de prospection auprès de prospects particuliers |
Finalité(s) | - Acquérir des bases de prospects par renseignements sur les profils de consommateurs ou achats réguliers de fichiers - Réaliser des actions de prospection commerciale et de marketing (e-mailing, phoning) - Organiser des jeux concours, parrainage, promotion, sondage - Envoyer des messages publicitaires par mail ou SMS |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
Référentiel | Prospection numérique | CNIL Maitrisez votre relation client CNIL Thématique, la prospection commerciale | |
Référentiel | Prospection physique et par voie postale | particuliers : biens et services analogues prospection des professionnels | CNIL La prospection commerciale<br /> CNIL referentiel-gestion-commerciale.pdf<br /> <br /> |
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
10 Prospects | 01 Identifiants : état civil (nom, prénom, civilité) | Non |
10 Prospects | 02 Identifiants : domicile privé (adresse postale) | Non |
10 Prospects | 03 Identifiants : adresse de messagerie personnelle | Non |
10 Prospects | 03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..) | Non |
10 Prospects | 03 Identifiants : téléphone privé (portable, fixe) | Non |
10 Prospects | 24 Activités : habitudes, activités, présence à des événements… | Non |
10 Prospects | 24 Activités : profil d'acheteur, souhaits potentiels d'achat | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant que la personne n'a pas retiré son consentement | 01 Base active | Suppression | durant la période des 2 ans |
2 ans (données et échanges de prospection) | 01 Base active | Suppression | à compter du dernier contact avec la personne concernée |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Punctual or contractual engagement Prior consent to a third-party |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | La personne a préalablement fournit un consentement. A chaque action marketing, une méthode (un lien, un email) est proposée pour permettre à la personne de refuser une prochaine communication en rapport avec la campagne |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | L'exercice des droits se fait soit via le prestataire si consentement détenu par un tiers, soit auprès du responsable du traitement pour la campagne considérée |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, car traitement automatisé |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Les approches marketing doivent tenir compte de l’importance grandissante de la protection de la vie privée et des lois qui la protège. Dans cette optique, nous privilégions des connexions personnelles et individualisées avec nos prospects ainsi qu'une communication transparente, loyale et adaptée. Par ailleurs, nous développons des outils permettant à la personne d'interagir facilement et directement sur ses données.afin d’établir la confiance avec les utilisateurs. |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
Pas de mesures physiques nécessaires | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure physique | |
Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesure organisationnelle | |
L'authentification est soumise à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
Désignation | Activités marketing et de prospection auprès des clients professionnels |
Finalité(s) | - Études marketing et génération de fichiers nominatifs client ciblés - Réaliser des actions commerciales ou marketing direct auprès des clients (campagnes téléphoniques, envoi de messages mail ou SMS, jeux concours, parrainage, promotion, sondage) - Émettre des messages de promotion vers des abonnées (réseaux sociaux, forums) |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
Référentiel | Prospection numérique | CNIL Maitrisez votre relation client CNIL Thématique, la prospection commerciale | |
Référentiel | Prospection physique et par voie postale | particuliers : biens et services analogues prospection des professionnels | CNIL La prospection commerciale<br /> CNIL referentiel-gestion-commerciale.pdf<br /> <br /> |
RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. | L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
RGPD | Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
12 Clients particuliers (B to C) | 01 Identifiants | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant que la personne n'a pas retiré son consentement | 01 Base active | Suppression | durant la période des 3 ans |
3 ans (coordonnées prospects et clients) | 01 Base active | Archivage | après le dernier échange ; pour conserver les données, un nouveau consentement est sollicité |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Punctual or contractual engagement CGV |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par la présente Politique de Protection de données rappelée dans les Conditions Générales de Vente, et dans les contrats le cas échéant |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant directement à son contact commercial ou à l'accueil, en remplissant le formulaire d'exercice des droits le cas échéant |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, pas de données susceptibles d'être transmises |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Les approches marketing évoluent pour tenir compte de l’importance grandissante de la protection de la vie privée et des lois qui la protège. Dans cette optique, nous privilégions des connexions personnelles et individualisées avec nos prospects ainsi qu'une communication transparente, loyale et adaptée. Par ailleurs, nous développons des outils permettant à la personne d'interagir facilement et directement sur ses données.afin d’établir la confiance avec les utilisateurs. |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
Pas de mesures physiques nécessaires | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure physique | |
Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesure organisationnelle | |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
Désignation | Envoi de newsletters |
Finalité(s) | désignation de la newsletter, fréquence d'envoi |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
Référentiel | Newsletter | article 32 de la Loi Informatique et Libertés ; article L34-5 du Code des postes et des communications électroniques |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
05 Abonnés à une newsletter | 01 Identifiants | Non |
05 Abonnés à une newsletter | 03 Identifiants : adresse de messagerie personnelle | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant que la personne n'a pas retiré son consentement | 01 Base active | Suppression | Chaque envoi contient un lien de désabonnement en 1 clic. Celui-ci provoque l'effacement de la base d'envoi |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
Méthode(s) de consentement | La personne a donné son consentement par une case à cacher sur le formulaire internet d'abonnement |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | par une mention concernant les données personnelles sous le formulaire + un lien vers la présente Politique de Protection |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Lors de chaque envoi d'une newsletter, la personne peut se désabonner d'un simple clic grâce à un lien situé au pied du courrier |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Destinataires |
Motif d'envoi d'informations |
Commentaire |
---|---|---|
Fournisseur de services numériques | 04 Statistiques en rapport avec la finalité | Éditeur du logiciel e-mailing en mode SaaS |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Les abonnées à une newsletter s'apparentent à un fichier prospect/clients et doit être protégé comme tel |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
Données stockées dans une infrastructure SaaS | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure organisationnelle |
Désignation | Jeux concours |
Finalité(s) | - Organiser des loteries ou toute opération promotionnelle à l'exclusion des jeux d'argent et de hasard en ligne soumis à l'agrément de l'Autorité de Régulation des Jeux en Ligne - Faire gagner des lots aux participants - Promotionner les activités de l'organisme |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
Référentiel | Jeux concours | Loi du 21 mai 1836, Modifié par LOI n°2014-1545 du 20 décembre 2014 - art. 54 CNIL organisation-de-jeux-concours-que-faire |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
03 La personne enregistrée | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
03 La personne enregistrée | 02 Identifiants : domicile privé (adresse postale) | Non |
03 La personne enregistrée | 03 Identifiants : adresse de messagerie personnelle | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
3 ans (coordonnées prospects et clients) | 03 Archives intermédiaires | Suppression | 3 ans après la date du jeu concours, sauf refus de la personne |
Tant que l'année fiscale n'est pas terminée (comptabilité clôturée) | 01 Base active | Suppression |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
Méthode(s) de consentement | En s'inscrivant au jeu, les personnes acceptent les conditions générales du jeu |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Les conditions sont portées à leur connaissance sur le billet concours et rappelées via la présente Politique de Confidentialité |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les personnes peuvent refuser le traitement de leur données au moment de la participation en le spécifiant au moment de l'inscription |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Aux fins d'impartialité, la liste des participants doit être destinée uniquement aux personnes habilités par le règlement du jeu afin de garantir un strict respect de celui-ci. |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
L'authentification est soumise à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement |
Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesure technologique | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne |
Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle |
Désignation | Gestion d'un CRM (fichier prospect/client) |
Finalité(s) | Enregistrer et partager avec les personnes habilitées : - les coordonnées des prospects & clients - l'historique des demandes et affaires, potentielles, en cours ou traitées - les actions commerciales menées (visites, phoning, mailing) |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. | L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Référentiel | Code de la propriété intellectuelle | Le CPI protège le patrimoine de l'entreprise, et notamment ses bases de données (fichiers clients...) du fait de l'investissement nécessaire à constitution et leur tenue (Art 341-1) | Le code de la propriété intellectuelle est un document du droit français, créé par la loi nᵒ 92-597 du 1ᵉʳ juillet 1992 relative au code de la propriété intellectuelle, publié au Journal officiel du 3 juillet 1992. |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
11 Clients | 01 Identifiants | Oui |
11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
12 Clients particuliers (B to C) | 02 Identifiants : domicile privé (adresse postale) | Oui |
12 Clients particuliers (B to C) | 03 Identifiants : adresse de messagerie personnelle | Oui |
12 Clients particuliers (B to C) | 03 Identifiants : téléphone privé (portable, fixe) | Oui |
12 Clients professionnels (B to B) | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
12 Clients professionnels (B to B) | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
10 ans (comptabilité, pièces justificatives clients, fournisseurs) | 03 Archives intermédiaires | Suppression | données et documents concernant les ventes |
3 mois après la réponse (messages notés et mails de correspondances) | 01 Base active | Suppression | données et échanges de prospection |
2 ans (données et échanges de prospection) | 01 Base active | Suppression | concerne les devis et offres |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Punctual or contractual engagement Legitimate ou pre-contractual process |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | La personne a été informée lors de la signature de la commande + elle pourra se référer à la présente politique de protection des données |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | La personne peut à tout moment demander une copie des informations qui la concerne via le formulaire d'exercice des droits |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, sauf demande expresse de la personne |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | La protection du patrimoine de l'entreprise, et notamment du fichier client, est un souci permanent pour les responsables. Son contenu protégé par le code de la propriété intellectuelle (L-341-1 al.1er du CPI) du fait de l'investissement nécessaire à sa constitution et sa tenue |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle | |
Données stockées dans une infrastructure SaaS | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
Désignation | Prospection commerciale par une force de vente, gestion des offres |
Finalité(s) | - prospecter des entreprises, des professionnels, des particuliers - Collecter des cahiers des charges techniques et financiers - Enregistrer les coordonnées des personnes - Élaborer des offres, les remettre via mails ou papiers - Négocier les propositions, suivre les objections - Saisir les commandes ou les refus - Suivre les livraisons ou les paiements - Établir des statistiques d'activités commerciales |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée | |
Référentiel | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges | |
Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
Référentiel | Code de commerce | Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties | |
Référentiel | Obligation générale d'information précontractuelle | Code de la consommation : L111-1 à L111-8 | |
Référentiel | Gestion des activités commerciales | Référentiel CNIL "Gestion Commerciale" : contrats, prospection, comptabilité, statistiques, enquêtes, sav |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
10 Prospects | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
10 Prospects | 02 Identifiants : domicile privé (adresse postale) | Oui |
10 Prospects | 03 Identifiants : adresse de messagerie personnelle | Non |
10 Prospects | 03 Identifiants : téléphone privé (portable, fixe) | Non |
10 Prospects | 10 Identifiants : signature (manuscrite, numérique) | Oui |
10 Prospects | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Oui |
10 Prospects | 22 Activités : devis, propositions, essais, négociations | Oui |
10 Prospects | 23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) | Oui |
10 Prospects | 23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui |
10 Prospects | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
5 ans (bons de commande, de livraison, correspondances commerciales) | 03 Archives intermédiaires | Suppression | Devis et annexes, échanges commerciaux en vue de la conclusion d'un contrat |
3 mois après la réponse (messages notés et mails de correspondances) | 01 Base active | Suppression | Les données nécessaires à l'exécution du contrat sont conservées durant toute la durée de celui-ci plus 3 ans. Après 3 ans, les données de contact sont effacées et les factures archivées.* Les statistiques concernant l'activité sont anonymisées ; celles concernant la personne sont conservées 3 ans après sa dernière communication |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
Méthode(s) de consentement | Les personnes signent un contrat et des annexes, permettant le recueil des données nécessaires à la vente |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par les CGV et par les conditions particulières du contrat, rubrique "Données personnelles" ; par la présente Politique de Protection des Données |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant directement au service commercial concerné ; le cas échéant, à la direction de l'organisme, au Délégué à la Protection des Données via contact@organisme.com, ou en remplissant le formulaire des droits depuis le site internet |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, aucune donnée n'a lieu d'être portée, les personnes ayant reçu un duplicata du contrat et aucune donnée supplémentaire n'ayant été collectée lors de son exécution |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément important de la vente, l'organisme a pris des mesures de protection appropriées concernant l'accès aux données qu'il stocke ainsi qu'aux modalités de partage des informations |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
Filtrage par droits d'accès (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle | |
Broyage en cas de fin de vie des documents papiers | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesure physique |
Désignation | E-commerce, vente sur internet via son propre site |
Finalité(s) | - enregistrer des commandes depuis son site interne - collecter les informations de livraison - recevoir les paiements en ligne - stockage et archivage des coordonnées et échanges inhérents à la vente |
Informations complémentaires | l'organisme, son service gestion (facturation), le service commercial (envoi d'information en rapport avec les achats) Les transporteurs ou la poste (informations de livraison) |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Référentiel | Loi Hamon relative à la e-consommation | Loi no 2014-344 du 17 mars 2014 : meilleure information produits, droit de rétractation, de remboursement avec formulaires et délais, code de conduite du marchand | |
Référentiel | Ventes e-commerce | Code de la consommation L111-L121-L221 pour les obligations et pratiques Code civil – articles 1125 à 1126 et 1127-4 pour les e-contrats | https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/E-commerce-regles-applicables-au-commerce-electronique |
Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
Référentiel | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges | |
RGPD | Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
11 Clients | 02 Identifiants : domicile privé (adresse postale) | Oui |
11 Clients | 03 Identifiants : adresse de messagerie personnelle | Oui |
11 Clients | 03 Identifiants : téléphone privé (portable, fixe) | Non |
11 Clients | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Non |
11 Clients | 23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
3 ans (coordonnées prospects et clients) | 01 Base active | Suppression | Les données de réservation sont conservées 3 après l'achat ainsi que l'historique d'achat pour la personne ; des statistiques anonymes de vente sont effectuées |
5 à 10 ans (données comptables, fiscales, RH) | 03 Archives intermédiaires | Suppression | Les données comptable et fiscales sont conservées 10 ans |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
Méthode(s) de consentement | La vente est validée via le formulaire de commande internet ; les conditions générales de vente sont présentées et explicitement acceptées par l'internaute lorsqu'il finalise son achat ou sa réservation en cliquant sur le bouton "Finaliser" |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | L'internaute dispose d'un lien "conditions spécifique au produit ou au service vendu", d'un autre lien vers les "conditions générales de vente" et de la Présente Politique de Protection de données, dans lesquels il est informé du traitement de ses données |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | L'internaute peut envoyer un mail à contact@organisme.fr ou en remplir le formulaire "Exercice des droits" à la rubrique "Données personnelles" accessible depuis le site |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Les données collectées font l'objet d'une confirmation par mail ce qui vaut pour la portabilité. A la demande du client, l'organisme peut re-transmettre les données acquises, les éventuelles échanges commerciaux ou demandes de remboursement. |
Destinataires |
Motif d'envoi d'informations |
Commentaire |
---|---|---|
Administrations et organismes d'état | 03 Information du législateur | Sur demande, pour la lutte contre la fraude |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément essentiel pour la confiance des parties, l'organisme délègue auprès auprès d'une plateforme spécialisée le processus de commercialisation de ses produits. Le chiffrement du stockage et des flux garantit la protection des données de bout en bout. |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle | |
Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
Données stockées dans une infrastructure SaaS | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
L'authentification est soumise à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesure technologique | |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
Désignation | E-Commerce, vente sur internet via des places de marché (Amazon, CDiscount...) |
Finalité(s) | - Recevoir des commandes via des places de marché - Collecter des commandes - Recevoir les instructions de livraisons - Recevoir les paiements |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
RGPD | Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée | |
Référentiel | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges | |
Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
Référentiel | Loi Hamon relative à la e-consommation | Loi no 2014-344 du 17 mars 2014 : meilleure information produits, droit de rétractation, de remboursement avec formulaires et délais, code de conduite du marchand | |
Référentiel | Ventes e-commerce | Code de la consommation L111-L121-L221 pour les obligations et pratiques Code civil – articles 1125 à 1126 et 1127-4 pour les e-contrats | https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/E-commerce-regles-applicables-au-commerce-electronique |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
03 La personne enregistrée | 01 Identifiants | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
3 ans (coordonnées prospects et clients) | 01 Base active | Suppression | Les données de commande sont conservées 3 après l'achat ainsi que l'historique des achats, retours et demandes effectuées ; des statistiques anonymes de vente sont effectuées |
5 à 10 ans (données comptables, fiscales, RH) | 03 Archives intermédiaires | Suppression | L'organisme archive les informations, documents et fichiers pour répondre à ses obligations légales en matière comptable, fiscale et gestion du personnel (code des impôts, art 3171-16) |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
Méthode(s) de consentement | La vente est validée par la plateforme e-commerce ; ses conditions générales d'utilisation s'appliquent, nos conditions générales de vente sont présentées et explicitement acceptées par l'internaute lorsqu'il finalise son achat ou sa réservation en cliquant sur le bouton "Finaliser" |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Contrat avec les partenaires - CGV pour les clients |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant directement à la plateforme e-commerce via le compte client |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, pas de procédure envisagée |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément essentiel pour la confiance des parties, l'organisme délègue auprès auprès d'une plateforme spécialisée le processus de commercialisation de ses produits. Le chiffrement du stockage et des flux garantit la protection des données de bout en bout. |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesure technologique | |
Filtrage par droits d'accès (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle | |
Données stockées dans une infrastructure SaaS | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure organisationnelle | "Centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données.<br /> Les sites sont protégés par des normes spécifiques (SOC1, SOC 2, à minima ISO 27001) |
Désignation | E-commerce, vente sur internet en tant que place de marché |
Finalité(s) | - Être place de marché : enregistrer des commandes pour des partenaires, adhérents... - recueillir, partager & transmettre les éléments d'achats issues de commandes d'internautes pour le compte d'entreprises - recevoir des paiements en ligne |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
Référentiel | Loi Hamon relative à la e-consommation | Loi no 2014-344 du 17 mars 2014 : meilleure information produits, droit de rétractation, de remboursement avec formulaires et délais, code de conduite du marchand | |
Référentiel | Ventes e-commerce | Code de la consommation L111-L121-L221 pour les obligations et pratiques Code civil – articles 1125 à 1126 et 1127-4 pour les e-contrats | https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/E-commerce-regles-applicables-au-commerce-electronique |
Référentiel | Obligation générale d'information précontractuelle | Code de la consommation : L111-1 à L111-8 |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
11 Clients | 02 Identifiants : domicile privé (adresse postale) | Oui |
11 Clients | 03 Identifiants : adresse de messagerie personnelle | Oui |
11 Clients | 03 Identifiants : téléphone privé (portable, fixe) | Non |
11 Clients | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Non |
11 Clients | 23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
3 ans (coordonnées prospects et clients) | 01 Base active | Suppression | l'année en cours, pour les données d'achat et de livraison, puis archivage 3 ans pour les coordonnées de l'acheteur, puis anonymisation |
10 ans (comptabilité, pièces justificatives clients, fournisseurs) | 03 Archives intermédiaires | Suppression |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
Méthode(s) de consentement | La personne concernée coche une case d'option lors du processus d'achat pour les CGU du site + une autre pour l'acceptation des CGV |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par les pages "Conditions Générales de Vente" et "Données personnelles" du site d'achat |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En faisant la demande par email à commande@organisme.fr ou en remplissant le formulaire d'exercice des droits - La personne concernée peut directement gérer ses informations de contact via son compte ; elle peut également choisir ses options de communication et supprimer celui-ci |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | La personne peut à tout moment faire la demande via le mail commande@organisme.fr |
Destinataires |
Motif d'envoi d'informations |
Commentaire |
---|---|---|
Transporteurs | 01 Pour traitement(s) connexe(s) | Pour les livraisons |
Administrations et organismes d'état | 03 Information du législateur | Sur demande, pour la lutte contre la fraude |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément essentiel pour la confiance des parties, l'organisme délègue auprès auprès d'une plateforme spécialisée le processus de commercialisation des produits. Le chiffrement du stockage et des flux garantit la protection des données de bout en bout. |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
Données stockées dans une infrastructure SaaS | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
L'authentification est soumise à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesure technologique | |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
Désignation | Vente en magasin |
Finalité(s) | Vente d'articles en magasin - particuliers ou professionnels - sans collecte des données clientèle |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
Référentiel | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges | |
Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
11 Clients | 50 Economique et financière : carte bancaire (propriétaire, numéro, expiration) | Non |
11 Clients | 51 Economique et financière : chèque, nom, adresse, banque, signature | Non |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant que l'année fiscale n'est pas terminée (comptabilité clôturée) | 01 Base active | Archivage | Le temps de l'encaissement pour les durées de chèques et de CB |
3 ans (coordonnées prospects et clients) | 01 Base active | Suppression | Tickets de caisse |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Legitimate ou pre-contractual process |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par les conditions générales de vente de l'organisme, quand elles existent et disponibles sur simple demande |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant à l’accueil, le cas échéant à la direction |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Destinataires |
Motif d'envoi d'informations |
Commentaire |
---|---|---|
Organismes bancaires et financiers | 03 Information du législateur | Dans le cas des paiements par chèque |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Les ventes en magasin génèrent très peu de traitements de données hormis les moyens de paiement nominatifs. La gestion de la caisse est organisée en conséquence |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Protection physique des éléments de caisse (chèque & CB) | Mesure physique |
Désignation | Administration des ventes : suivi des commandes et de leur exécution |
Finalité(s) | - Réception des commandes - Collecte et saisie des documents contractuels - Enregistrement des coordonnées de la clientèle - Transmission des ordres aux services techniques - Passation des commandes fournisseurs - Suivi de l'exécution des contrats - Saisie des éléments sur la base des commandes - Préparation à la facturation |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Référentiel | Gestion des activités commerciales | Référentiel CNIL "Gestion Commerciale" : contrats, prospection, comptabilité, statistiques, enquêtes, sav | |
Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
11 Clients | 02 Identifiants : domicile privé (adresse postale) | Oui |
11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant que l'année fiscale n'est pas terminée (comptabilité clôturée) | 01 Base active | Archivage | Devis, commandes, bons de livraison, bon de transport, de livraisons |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Legitimate ou pre-contractual process |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Via les CGV, que le client e-commerce valide spécifiquement ou pour un magasin, effectuer un achat emporte l'adhésion pleine, entière et sans réserve du Client aux CGV. |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant directement à l'entreprise ou en remplissant le formulaire d'exercice des droits (rubrique "Données personnelles" du site") |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A car traitement légitime |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Les activités commerciales (commandes, tarifs, marges) sont un élément clé du patrimoine de l'organisme. Des procédures spécifiques de cloisonnement et de protection sont mises en œuvre |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Filtrage par droits d'accès (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle | |
Accès aux données via le réseau local | Le poste de l'utilisateur doit être connecté au réseau réseau local (en direct, via VPN, RDP) ou l'utilisateur prend la main à distance sur un tel poste | Mesure organisationnelle | |
Données stockées dans une infrastructure SaaS | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
Stockage (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesure physique | |
L'authentification est soumise à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique |
Désignation | Gérer des programmes de fidélité |
Finalité(s) | - Carte de fidelité - Parrainage, bons cadeaux... |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
11 Clients | 23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant que la personne n'a pas retiré son consentement | 01 Base active | Suppression |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
Méthode(s) de consentement | La personne a souscrit au programme "carte de fidelité" et l'a validé explicitement par sa signature |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Lors de la souscription au programme de fidélité, la personne a reçu les conditions du traitement |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant au service commercial ou en remplissage le formulaire d'exercice des droits disponible sur le site |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Accès conditionnel selon l'appareil | Les données ne sont consultables que depuis un appareil de confiance, identifié et autorisé par l'organisme | Mesure technologique | |
Filtrage par droits d'accès (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle | Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...) |
Désignation | Collecter des avis, recommandations, opinions |
Finalité(s) | - Collecter des questionnaires de satisfaction concernant les produits ou services proposés - Réaliser des enquêtes de satisfaction, des sondages et le suivi d'utilisation auprès des campeurs - Agréger des données nominatives ou non issues des enquêtes afin de construire des indicateurs concernant la satisfaction concernant nos services |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
Référentiel | Avis en lignes | Décret n°2017-1436 du Code de la consommation Norme NF ISO 20488 encadrant les «avis en ligne» (date, expérience, critère, contreparties, contrôle, modification, rejet) |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
03 La personne enregistrée | 01 Identifiants : état civil (nom, prénom, civilité) | Non |
03 La personne enregistrée | 03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..) | Oui |
03 La personne enregistrée | 35 Opinions : date, avis, retour d'expérience, note | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant que la personne n'a pas retiré son consentement | 01 Base active | Suppression | Les avis sont conservés tant que les personnes n'ont pas retiré leur consentement ou tant que l'organisme ou le prestataire assure sa diffusion |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Prior consent to a third-party |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Pour les avis en ligne, les personnes ont consenti au Conditions Générales d’Utilisation prestataire permettant la publication de l'avis Pour les avis laissés au format papier, une mention sur le formulaire renvoie à la présente Politique de Protection |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les avis en ligne sont modifiables par les personnes dépositaires selon les CGU du prestataire. Leur publication peut être modéré par l'organisme Les avis laissés sur formulaires papier sont conservés |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Automatique, les personnes reçoivent une copie de leur avis |
Destinataires |
Motif d'envoi d'informations |
Commentaire |
---|---|---|
Tout public | 02 Information d'une partie prenante |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | Hors U.E. |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Concernant les personnes, les avis sont publics ; concernant l'organisme, l'accès à l'ensemble des avis et des réponses doit rester strictement réservé aux personnes habilitées |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Données stockées dans une infrastructure SaaS | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle |
Désignation | Execution du contrat de vente "nom_du_contrat " |
Finalité(s) | - délivrer les produits et services vendus - gestion des commandes et des livraisons |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Référentiel | Code Civil, les contrats | Articles 1101 à 1231 : Le contrat est un accord de volontés entre deux ou plusieurs personnes destiné à créer, modifier, transmettre ou éteindre des obligations |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
11 Clients | 23 Activités : éléments constitutifs du contrat | Oui |
11 Clients | 23 Activités : éléments traités durant l'exécution du contrat | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant que le contrat est en cours | -- | -- | Les données sont conservées tant que le contrat est en cours puis pendant l’exercice fiscal. 3 ans après le dernier échange, les coordonnées de contact sont effacés ou anonymisés |
10 ans (comptabilité, pièces justificatives clients, fournisseurs) | -- | -- | Les éléments du contrats ainsi que les documents de facturation sont archivés pour une durée de 10 ans, puis effacés |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Punctual or contractual engagement |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Les personnes peuvent consulter leurs contrat et leurs annexes, qui décrivent les modalités de gestion. L'organisme informe régulièrement les personnes par mail de l'actualité concernant la gestion des contrats |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant à l'organisme, par téléphone ou via le formulaire d'exercice des droits disponible sur le site de l'agence |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Oui, des données pourraient être portées. Les personnes ayant reçu un duplicata du contrat mais les données supplémentaires ayant été collectée durant son exécution peuvent être transmises |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Filtrage par droits d'accès (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle | Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...) |
Accès aux données via le réseau local | Le poste de l'utilisateur doit être connecté au réseau réseau local (en direct, via VPN, RDP) ou l'utilisateur prend la main à distance sur un tel poste | Mesure organisationnelle | |
Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle |
Désignation | Execution des contrats : logistique, livraisons et retours |
Finalité(s) | - traitement des commandes clients - gestion des approvisionnements - expédition des marchandises - gestion des retours clients |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Référentiel | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges | |
Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
12 Clients particuliers (B to C) | 01 Identifiants : état civil (nom, prénom, civilité) | Non |
12 Clients particuliers (B to C) | 02 Identifiants : domicile privé (adresse postale) | Non |
12 Clients particuliers (B to C) | 03 Identifiants : téléphone privé (portable, fixe) | Non |
12 Clients professionnels (B to B) | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Non |
12 Clients professionnels (B to B) | 23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Non |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant que l'année fiscale n'est pas terminée (comptabilité clôturée) | -- | -- | Données et documents afférents aux livraisons |
5 ans après l'échéance (données contractuelles) | -- | -- | les coordonnées de contact ainsi que les données essentielles des contrats |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Le contrat et ses annexes décrivent les modalités de gestion. L'organisme informe régulièrement les personnes par mail de l'actualité concernant la gestion des contrats |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Dans les conditions du contrat et via le formulaire d'exercice des droits |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Stockage (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesure physique | |
Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesure organisationnelle | |
Anonymisation de la transaction | Une fois la transaction validée, les données sont anonymisées | Mesure technologique | |
Broyage en cas de fin de vie des documents papiers | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesure physique |
Désignation | Exécution des contrats : livraison et pose d'appareils |
Finalité(s) | - Organiser les commandes et les livraisons des matériels par vente - Organiser les plannings quotidien, affecter les techniciens, les véhicules... - Échanger avec le client concernant l'installation - Effectuer la pose sur site - Récolter des PVs d’exécution |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
Référentiel | Gestion des activités commerciales | Référentiel CNIL "Gestion Commerciale" : contrats, prospection, comptabilité, statistiques, enquêtes, sav |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant que le chantier est en cours | -- | -- | données de commandes, articles, éléments techniques, délais de livraison, éléments nécessaires à la pose / au montage. Restitution à la direction |
Tant que la construction existe | -- | -- | Suite à la validation de ce traitement, les données sont transférées pour archives |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Punctual or contractual engagement |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Informations délivrées lors de la commande (conditions du contrat, CGV) |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant directement à la direction ou en remplissant le formulaire d'exercice des droits |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Oui, une copie des informations de chantier sont remises au client à l'issue de l'installation |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Les éléments techniques (matériaux marques et modèles, délais d'installation, méthodes de pose...) sont des éléments intégrant la propriété intellectuelles de l'entreprise. Des procédures de confidentialité et de protection des données sont mises en œuvre sur le terrain |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Terminaux fixes et mobiles : solution de protection renforcée (EPP, EDR, XDR) | Pour chaque appareil connecté : antivirus , protection du compte, pare-feu et protection réseau, contrôle des applications et du navigateur, sécurité de l'appareil | Mesure technologique | |
Broyage en cas de fin de vie des documents papiers | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesure physique | |
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
Stockage (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesure physique |
Désignation | Exécution des contrats : réalisation de chantier |
Finalité(s) | - Organiser les commandes et les livraisons des matériels par chantier - Organiser les plannings quotidien, affecter les techniciens et les véhicules - Échanger avec le client, organiser des réunions de chantier, récolter les PV d’exécution - Calculer les ratios de rentabilité par chantier |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Référentiel | Code de commerce | Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties | |
Référentiel | Garantie décennale | Les constructeurs ont l'obligation de souscrire une assurance de responsabilité civile décennale. Elle garantit la réparation des dommages qui apparaissent après la réception des travaux. |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
11 Clients | 01 Identifiants | Oui |
11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
11 Clients | 23 Activités : éléments traités durant l'exécution du contrat | Oui |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Punctual or contractual engagement |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Des informations spécifiques sont transmises lors de la signature des appels d'offres ouverts et fermés. |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant au responsable désigné du chantier, ou en remplissant le formulaire d'exercice des droits |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Oui, certaines données techniques sont remises en fin de chantier |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
PSSI mis en oeuvre | Plan de Sécurité des Systèmes d'Information ou pour la santé un PAS (Plan d'assurances sécurité)doit être rédigé : les mesures de sécurité et de protection sont normalisées, régulièrement auditées et éprouvées | Mesure organisationnelle | |
Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesure organisationnelle | |
L'authentification est soumise à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
Protection physique des accès aux locaux et aux postes informatiques | Mise en œuvre de d'alarmes, serrures et autres contrôles physiques permettant de conditionner l’accès aux locaux, aux supports de données et équipements réseaux | Mesure physique |
Désignation | Execution des contrats : production et usinage |
Finalité(s) | - production & usinage |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
Référentiel | Code de commerce | Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties | |
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
11 Clients | 23 Activités : éléments constitutifs du contrat | Oui |
11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Punctual or contractual engagement |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Informations délivrées sur le Bon à Tirer (conditions particulières, CGV) |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant au secrétariat, ou en remplissant le formulaire d'exercice des droits |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection |
Désignation |
Contenu |
Type |
Commentaire |
---|
Désignation | Execution des contrats : gestion de contrats d'entretien (maintenance, interventions SAV) |
Finalité(s) | - Recevoir les appels de maintenance et planifier les interventions - Gérer les maintenances préventives et correctives et commander les pièces - Organiser les tournées des techniciens, réaliser, valider et clôturer les interventions sur site - Effectuer le suivi du renouvellement des contrats d'entretien |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
Référentiel | Code Civil, les contrats | Articles 1101 à 1231 : Le contrat est un accord de volontés entre deux ou plusieurs personnes destiné à créer, modifier, transmettre ou éteindre des obligations |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
2 ans après l'achat (données de garantie pour les biens et services) | -- | -- | Art L218-2 |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Punctual or contractual engagement |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Informations délivrées lors de la commande (conditions du contrat, CGV) |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant au service "garantie", ou en remplissant le formulaire d'exercice des droits |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | A la demande, les données concernant les actions effectuées durant la garantie peuvent être transmises |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection |
Désignation |
Contenu |
Type |
Commentaire |
---|
Désignation | Interventions ponctuelles de dépannage / réparation |
Finalité(s) | - Recevoir et planifier les demandes de prestations de réparation et d'entretien - Réaliser les prestations ; les valider avec les personnes concernées - Transmettre au service gestion |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
11 Clients | 02 Identifiants : domicile privé (adresse postale) | Oui |
11 Clients | 03 Identifiants : adresse de messagerie personnelle | Oui |
11 Clients | 03 Identifiants : téléphone privé (portable, fixe) | Oui |
11 Clients | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Non |
11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
11 Clients | 23 Activités : éléments traités durant l'exécution du contrat | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant que l'année fiscale n'est pas terminée (comptabilité clôturée) | -- | -- | Eléments concernant les interventions |
Tant que le contrat est en cours | -- | -- | Coordonnées des personnes concernées et éléments du contrat |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Punctual or contractual engagement |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Informations délivrées lors de la commande (conditions du contrat, CGV) |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant directement au service technique ou en remplissant le formulaire d'exercice des droits |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Oui, un récépissé de la prestation est remise au client à l'issue de l'installation |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesure organisationnelle | |
L'authentification est soumise à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique | |
Broyage en cas de fin de vie des documents papiers | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesure physique | |
Stockage (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesure physique |
Désignation | Gestion des garanties (légales, décennales) |
Finalité(s) | - stocker les garanties souscrites |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Référentiel | Garantie décennale | Les constructeurs ont l'obligation de souscrire une assurance de responsabilité civile décennale. Elle garantit la réparation des dommages qui apparaissent après la réception des travaux. |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
2 ans après l'achat (données de garantie pour les biens et services) | -- | -- |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Prior consent to a third-party |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Document spécifique "Conditions de garantie" remis lors de l'achat. A l'issue de la garantie, nous envoyons une information et précisions que nous procédons à la suppression des données, à moins que la personne souhaite une extension de garantie |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | La personne peut s'adresser directement au service "SAV" ou remplir le formulaire d'exercice des droits |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Oui, l'entreprise envoie un document de fin de garantie |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Filtrage par droits d'accès (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle | Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...) |
Accès aux données via le réseau local | Le poste de l'utilisateur doit être connecté au réseau réseau local (en direct, via VPN, RDP) ou l'utilisateur prend la main à distance sur un tel poste | Mesure organisationnelle | |
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle |
Désignation | Gestion du secrétariat et suivi des correspondances |
Finalité(s) | - Répondre aux demandes d'informations des tiers (prospects, clients, fournisseurs, ...) via le site (formulaire contact), mail, appel téléphonique ou lors des visites à l'accueil - effectuer et enregistrer des conversations (chat) en ligne - Répondre et conserver une copie des réponses - Transmettre aux destinataires, le cas échéant, suivre les réponses jusqu'à conclusion |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. | L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Référentiel | Secret des correspondances privées | Principes s'appliquant aux échanges oraux ou écrits impliquant par leur contenu une certaine intimité (selon appréciation des juges, Code pénal, art 226-15, Directive européenne 97/66, 15/12/1997) Les correspondances professionnelles ne sont pas concernées | Il est interdit à toute autre personne que les destinataires, d’écouter, surveiller, intercepter, stocker, détourner, retarder ou divulguer les communications, sauf consentement préalable ou autorisation légale. |
Référentiel | Obligation générale d'information précontractuelle | Code de la consommation : L111-1 à L111-8 |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
03 La personne enregistrée | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
03 La personne enregistrée | 02 Identifiants : domicile privé (adresse postale) | Non |
03 La personne enregistrée | 03 Identifiants : adresse de messagerie personnelle | Non |
03 La personne enregistrée | 03 Identifiants : téléphone privé (portable, fixe) | Non |
03 La personne enregistrée | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Oui |
03 La personne enregistrée | 22 Activités : devis, propositions, essais, négociations | Non |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant qu'une procédure est en cours | 03 Archives intermédiaires | Suppression | pour certains messages ou correspondances constituant des preuves (de décisions, de contrats...) |
3 mois après la réponse (messages notés et mails de correspondances) | 01 Base active | Archivage | archive dans l'outil métier ou suppression si la demande est close |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Legitimate ou pre-contractual process |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Les personnes sont informées par la présente politique de protection des données et par un message dans les mails "correspondance respectant les conditions de notre politique de protection des données" |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | La personne pourra s'adresser directement à la direction par tél, mail ou physiquement, ou bien remplir le formulaire de demande de droit disponible depuis le site internet. |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, la personne dispose déjà des données car elle est partie prenante des échanges |
Destinataires |
Motif d'envoi d'informations |
Commentaire |
---|---|---|
Parties prenantes d'une correspondance | 07 Données anonymes uniquement |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | L'application du droit au maintien du caractère privé et secret des correspondances s'applique aux courriers postaux et aux courriers électroniques ; de plus leur divulgation à une personne non autorisée peut entrainer des désagréments ou des tensions. En conséquence, l'accès à l'historique des demandes est restreint et des messageries adaptées à chaque usage (service client, logistique, gestion, RH) ont été crées afin de cloisonner l'information. |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Transmission directe et orale de l'information | L'absence de stockage évite des mesures de protection | Mesure organisationnelle | |
Filtrage par droits d'accès (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle | |
Données stockées dans une infrastructure SaaS | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
Désignation | Facturation, suivi des paiements et des historiques de vente |
Finalité(s) | - Préparer la facturation en rapprochant les prestations effectuées et les contrats émis - Émettre et envoyer la facturation suite aux prestations - Recevoir les paiements - relancer le cas échéant - Statistiques non nominatives : historique vente par secteur, par article |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
Référentiel | Gestion des activités commerciales | Référentiel CNIL "Gestion Commerciale" : contrats, prospection, comptabilité, statistiques, enquêtes, sav | |
Référentiel | Gestion des impayés | CNIL referentiel-gestion-impayes.pdf | |
RGPD | Article 6-1c (obligation légale) | le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis | |
Référentiel | Facturation, paiements | service-public.fr N31384, F23208 Devis, mentions obligatoires sur une facture, conditions générales de vente entre professionnels (CGV) délais de paiement entre professionnels et pénalités de retard Mentions obligatoires : service-public.fr/F31808 Facturation entre professionnels : service-public.fr/F23208 | Code de commerce : L441-9 Les conditions et sanctions de la facturation |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Non |
11 Clients | 23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui |
11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant que l'année fiscale n'est pas terminée (comptabilité clôturée) | -- | -- | |
10 ans (comptabilité, pièces justificatives clients, fournisseurs) | -- | -- | à compter de la clôture de l'exercice Art L123-22 |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Legitimate ou pre-contractual process |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Essentiellement via la présente politique de protection des données |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | S'agissant d'un traitement légal, les droits sont principalement réduit à l'accès aux données. Les personnes peuvent s'adresser au service gestion, ou remplir le formulaire d'exercice des droits depuis le site internet |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, cependant les personnes reçoivent systématiquement une copie de l'ebnsemble des données de facturation |
Destinataires |
Type |
Commentaire |
---|---|---|
01. Direction (1) | Groupe | |
04. Comptabilité (3) | Groupe |
Destinataires |
Motif d'envoi d'informations |
Commentaire |
---|---|---|
Cabinet comptable, social, juridique | 04 Statistiques en rapport avec la finalité | Éléments partagés dans le cadre de la révision comptable |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | La facturation, les informations de vente et les statistiques de facturation constituent des éléments de grande valeur pour la direction de l'entreprise |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Accès aux données via le réseau local | Le poste de l'utilisateur doit être connecté au réseau réseau local (en direct, via VPN, RDP) ou l'utilisateur prend la main à distance sur un tel poste | Mesure organisationnelle | |
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle |
Désignation | Gestion des achats et des fichiers fournisseurs |
Finalité(s) | - Effectuer les opérations administratives liées aux contrats, aux commandes, aux réceptions, aux factures, aux règlements - Entretenir une base fournisseurs (coordonnées, contacts, historiques d'achats, documentations) - Établir des statistiques financières et de chiffre d'affaires par fournisseur - Fournir des sélections de fournisseurs - Gérer l’exécution financière des dépenses de l'entreprise et le suivi de budgets hors dépense de personnel |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Référentiel | Code de commerce | Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties | |
Référentiel | Fichiers de fournisseurs | CNIL Norme DI 04 concernant les fichiers fournisseurs et la prospection commerciale |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
13 Fournisseurs, partenaires, cotraitants | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
13 Fournisseurs, partenaires, cotraitants | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Oui |
13 Fournisseurs, partenaires, cotraitants | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
31 Prestataires, consultants | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
31 Prestataires, consultants | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant que l'année fiscale n'est pas terminée (comptabilité clôturée) | -- | -- | bons de commande, bons de livraison, lettres de facture, factures |
10 ans (comptabilité, pièces justificatives clients, fournisseurs) | -- | -- | pour tous les documents et informations concernant les achats |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Legal obligation Respect des CGV |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | La conservation et les échanges de données sont régies par les Conditions Générales de Vente ou les Conditions Générales d'Utilisation ou les contrats et conventions spécifiques qui régissent les relations des parties |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les employés des tiers en contact avec l'organisme ne peuvent faire valoir l’exercice d'un droit que par l'intermédiaire de leur employeur. Les organismes mettent en œuvre des systèmes d'anonymisation lorsque le besoin s'en fait sentir. |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | non, sauf spécifications contraire entre les parties |
Destinataires |
Type |
Commentaire |
---|---|---|
04. Comptabilité (3) | Groupe |
Destinataires |
Motif d'envoi d'informations |
Commentaire |
---|---|---|
Parties prenantes d'une correspondance | 02 Information d'une partie prenante | |
Administrations et organismes d'état | 03 Information du législateur | Déclarations fiscales et éléments comptables |
Cabinet comptable, social, juridique | 04 Statistiques en rapport avec la finalité | Révision comptable |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | La protection des fichiers fournisseurs, des prix et des volumes d'achat est une préoccupation importante de chaque organisme. L'accès est donc réservé aux seules personnes habilitées |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Filtrage par droits d'accès (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle | |
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
Données stockées dans une infrastructure SaaS | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
L'authentification est soumise à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique |
Désignation | Comptabilité, émission et suivi des paiements et de la trésorerie |
Finalité(s) | - Encaisser les paiements clients, effectuer les relances - Émettre des paiements fournisseurs et tiers - Suivre les comptes bancaires, la trésorerie - Saisir la comptabilité générale : client, fournisseurs, employés - Déclarer les comptes auprès des services fiscaux, les publier |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. | L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Référentiel | Comptabilité | Service Public, règles comptables CNIL, Délibération relative au traitement automatisé de la comptabilité générale | |
Référentiel | Délais de conservation et d'archivage des documents pour les entreprises | Une entreprise doit conserver tout document émis ou reçu dans l'exercice de son activité pendant une durée minimale. Ce délai varie selon la nature des papiers et les obligations légales. L'entreprise peut aussi archiver les documents plus longtemps, sauf s'ils contiennent des données personnelles. Pendant ce délai, l'administration peut mener des contrôles. | |
Référentiel | Gestion des impayés | CNIL referentiel-gestion-impayes.pdf |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
11 Clients | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Non |
11 Clients | 23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) | Oui |
13 Fournisseurs, partenaires, cotraitants | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Non |
13 Fournisseurs, partenaires, cotraitants | 23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) | Oui |
20 Employés de l'organisme | 76 Données RH : salaire, acomptes, coef. retenue à la source, domiciliation bancaire | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
Tant que l'année fiscale n'est pas terminée (comptabilité clôturée) | -- | -- | l'année en cours jusqu'à clôture de la comptabilité, pour les documents et fichiers, puis transfert aux archives |
10 ans (comptabilité, pièces justificatives clients, fournisseurs) | -- | -- | |
10 ans au moins (Comptes annuels (bilan, compte de résultat et annexes) / Comptes sociaux) | -- | -- | à compter de la clôture de l’exercice considéré (Article L. 123-22) |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Legitimate ou pre-contractual process Legal obligation |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Pas d'information particulière autre que la Politique de Protection |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Pas de droits particuliers sur ce traitement |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Destinataires |
Motif d'envoi d'informations |
Commentaire |
---|---|---|
Cabinet comptable, social, juridique | 04 Statistiques en rapport avec la finalité | Contrôle de gestion |
Administrations et organismes d'état | 03 Information du législateur | Déclarations fiscales |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Oui |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Les données comptables sont confidentielles car elles contiennent des informations sensibles sur l'activité de l'organisme (CA des clients, CA des fournisseurs, marges, rémunérations des employés et dirigeants). L'organisme a mis en place des procédures physiques, organisationnelles et techniques pour protéger ses documents et logiciels comptables |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
Broyage en cas de fin de vie des documents papiers | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesure physique | |
Accès aux données via le réseau local | Le poste de l'utilisateur doit être connecté au réseau réseau local (en direct, via VPN, RDP) ou l'utilisateur prend la main à distance sur un tel poste | Mesure organisationnelle | |
L'authentification est soumise à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
Stockage (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesure physique |
Désignation | Candidatures et recrutement |
Finalité(s) | - veille sur les candidatures, stockage des candidatures spontanés (entretien d'une CV-thèque) - constitution d'une CV-thèque - filtrage et communication à la direction et aux chefs de service - gestion des entretiens d'embauche |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée | |
Référentiel | Recrutement | CNIL les-operations-de-recrutement | |
Référentiel | Code du travail : les droits du candidat | Le recruteur est fondé à demander au candidat tous les éléments permettant de vérifier sa qualification et ses antécédents professionnels mais il doit limiter ses investigations à cette sphère. Le candidat à un emploi est de son côté tenu de répondre de bonne foi aux questions qui lui sont légalement posées. |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
22 Candidats à un emploi | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
22 Candidats à un emploi | 02 Identifiants : domicile privé (adresse postale) | Non |
22 Candidats à un emploi | 03 Identifiants : adresse de messagerie personnelle | Non |
22 Candidats à un emploi | 03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..) | Non |
22 Candidats à un emploi | 03 Identifiants : téléphone privé (portable, fixe) | Non |
22 Candidats à un emploi | 15 Etat civil : date et lieu de naissance | Non |
22 Candidats à un emploi | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Non |
22 Candidats à un emploi | 41 Situation et relations : profession, domaine d'activité, catégorie socio-professionnelle | Oui |
22 Candidats à un emploi | 70 Données RH : CV, diplômes, expériences, centres d'intérêts | Oui |
22 Candidats à un emploi | 75 Données RH : entretiens (dates, évaluateur, objectifs, appréciations) | Non |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
2 ans maximum après leur réception (candidatures, Cvs) | -- | -- |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Legitimate ou pre-contractual process |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Les candidats reçoivent un email en réponse à leur demande qui indique un lien vers la Politique de Protection des Données |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Ils peuvent agir sur leurs données via le formulaire d'exercice des droits |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A : aucune donnée collectée ne nécessite une portabilité |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Oui |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | La gestion des candidatures revêt une certaine sensibilité dans la mesure où de nombreuses informations doivent être disponibles pour être étudiées. En conséquence, ce processus reste interne afin de conserver la confidentialité |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Stockage (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesure physique | |
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
Filtrage par droits d'accès (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle |
Désignation | Surveillance des locaux enregistrements vidéo |
Finalité(s) | - assurer la sécurité des biens et des personnes - prévenir le vol en dissuadant les personnes - en cas de constat, aider à la preuve |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. | L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Référentiel | La vidéosurveillance-vidéoprotection au travail | RGPD Article 13 CNIL La vidéosurveillance-vidéoprotection au travail | |
Référentiel | Systèmes de videosurveillance | Arrêté du 3 août 2007 portant définition des normes techniques des systèmes de vidéosurveillance. | |
Référentiel | Code de la sécurité intérieure, vidéo surveillance | Code sécurité intérieure : Art L223-1, art. L251-1, L613-13, R223-2, R521-7, R253-3 | Le Code de la sécurité intérieure ou CSI est, en droit français, un code juridique créé en 2012 pour regrouper l'ensemble des dispositions législatives et réglementaires ayant trait à la sécurité intérieure. |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
01 Tout Public | 27 Activités : film (vidéo vidéoprotection, vidéo-surveillance) | Oui |
20 Employés de l'organisme | 27 Activités : film (vidéo vidéoprotection, vidéo-surveillance) | Non |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
24 h à 3 mois | -- | -- | Effacement automatique sauf en cas de rétention |
Tant qu'une procédure est en cours | -- | -- | Pour la conservation de preuves dans le cas d'une plainte , puis effacement manuel |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Legitimate ou pre-contractual process |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Affichage légal : présence de xxx panneaux indiquant la vidéo surveillance, la durée de conservation des images, qui peut les consulter |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les panneaux indiquent les coordonnées du service à contacter pour exercer ses droits + l'existence du formulaire d'exercice des droits disponible sur le site |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non (traitement légitime et automatisé) |
Destinataires |
Motif d'envoi d'informations |
Commentaire |
---|---|---|
Administrations et organismes d'état | 03 Information du législateur | En cas de contentieux |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Si ces outils sont légitimes pour assurer la sécurité des biens et des personnes, ils ne peuvent pas conduire à placer les employés sous surveillance constante et permanente ; le visionnage est restreint aux seules personnes habilitées par l'organisme |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
Protection physique des accès aux locaux et aux postes informatiques | Mise en œuvre de d'alarmes, serrures et autres contrôles physiques permettant de conditionner l’accès aux locaux, aux supports de données et équipements réseaux | Mesure physique | |
Gardiennage des locaux | Mesure physique | ||
Le compte nécessite une authentification multi facteur (MFA) | L’authentification multifacteur est obligatoire : message texte envoyé à un téléphone, appel téléphonique, application ou clé d'authentification | Mesure technologique | |
Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle |
Désignation | Wifi public |
Finalité(s) | - Fournir du wifi au public - Répondre aux obligations légales en matière de wifi public (suivi des personnes connectés) - Filtrer de sites Internet illégaux ou présentant un risque pour l'organisme tels que les sites de pédophilie, xénophobie, piratage... |
Type |
Désignation |
Contenu |
Comment |
---|---|---|---|
RGPD | Article 6-1c (obligation légale) | le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis | |
Référentiel | Wifi public, Hot Spot : obligations | CNIL conservation-des-donnees-de-trafic-hot-spots-wi-fi-cybercafes-employeurs-quelles-obligations | Conservation des données de trafic : hot-spots wi-fi, cybercafés, employeurs, quelles obligations ? |
Droit français | Wifi public, loi du 23/01/2006 | Code des postes et des communications électroniques, article L32 : obligation de déclaration ou de souscription auprès d'un opérateur wifi public (ARCEP) | Bornes installées en france sur data.gouv.fr/fr/datasets/bornes-wifi<br /> |
Catégorie de personnes |
Catégories de données |
Commentaires |
---|---|---|
03 La personne enregistrée | 03 Identifiants : adresse de messagerie personnelle | Oui |
03 La personne enregistrée | 09 Identifiants : adresse ip, terminal utilisé, id d'authentification, source | Oui |
03 La personne enregistrée | 29 Activités : navigation internet, cookie (URL, adresse ip de l'ordinateur, moment, actions effectués…) | Oui |
Duration of conversation |
Type de stockage |
Action en fin de période |
Commentaire |
---|---|---|---|
6 mois (journaux et logs des outils informatiques et numériques) | -- | -- | suppression automatique |
Tant qu'une procédure est en cours | -- | -- | en cas de litiges avec la justice |
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
Méthode(s) de consentement | Les personnes indique leur nom et mail puis valide le formulaire pour accepter les CGU |
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Le formulaire présente un lien sur lequel personnes peuvent cliquer pour consulter les CGU en détail |
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | L'exercice des droits se fait via le prestataire, responsable du traitement |
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, car traitement automatisé |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A |
Ce traitement peut-il être perçu comme sensible ? | Non |
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
Impact maximum sur les personnes concernées | N/A |
Impact maximum sur l'organisme | N/A |
Commentaires sur l'impact et la protection | Les données sont conservées sur une plateforme sécurisée hébergé dans un datacenter. Seule le prestataire a accès ou les services de police en cas d'enquête |
Désignation |
Contenu |
Type |
Commentaire |
---|---|---|---|
Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
Données stockées dans une infrastructure SaaS | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |