Détail du registre des traitements RGPD :
Activité générale de l'organisme
Description du traitement
Désignation | Activité générale de l'organisme |
|
Finalité(s) | objet(s) (cf statuts ou site internet) |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
RGPD | ROOT Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée | |
Droit français | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
Droit français | Statuts de société | Définition juridique de l’ensemble des règles qui régissent l'organisation de l'entreprise, les rapports entre les actionnaires et également les rapports à l’égard des tiers | |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
Selon référentiels RGPD (données à caractère personnel) | 01 Bases actives | Suppression | Les durées de conservation des données sont régies par les différents réglements et à défaut par la loi Informatique et Libertés du 17 juin 2019 comportant les dispositions relatives aux « marges de manœuvre nationales » autorisées par le Règlement général sur la protection des données (RGPD) |
Selon référentiels RGPD (données à caractère personnel) | 03 Archives intermédiaires | Archivage | L'entreprise stocke des documents et fichiers en archive essentiellement pour répondre à ses obligations légales en matière comptable, fiscale et gestion du personnel |
5 à 10 ans (données comptables, fiscales, RH) | 04 Archives longues | Suppression | Art 3171-16 |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
01 Tout Public | 01 Identifiants | Oui | |
02 Internautes | 01 Identifiants | Oui | |
10 Prospects | 01 Identifiants | Oui | |
10 Prospects | 01 Identifiants : état civil (nom, prénom, civilité) | Oui | |
11 Clients | 20 Données d'activités | Oui (Art 9) | |
13 Fournisseurs, partenaires, cotraitants | 20 Données d'activités | Oui (Art 9) | |
20 Employés de l'organisme | 70 Données RH | Oui (Art 9) | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
|
Méthode(s) de consentement | L'organisme recueille le consentement des personnes chaque fois que nécessaire |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Via le site organisme.com, rubrique "Mentions légales" ainsi que des informations spécifiques lors de chaque traitement |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les personnes peuvent exercer leurs droits en s'adressant à la direction ou au DPO, par téléphone ou mail, en se rendant dans les locaux de l'organisme ou via le site internet rubrique "Données personnelles". Pour tout recours, elles peuvent s'adresser à la CNIL |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Lorsque la récupération des données traitées par l'organisme est prévue, des procédures spécifiques à chaque traitement sont mises en œuvre : envoi des données par l'organisme, récupération au fil de l'eau lors d'échanges de documents ou conversations, ou bien à travers un compte utilisateur par exemple |
|
Destinataires internes
Désignation | Commentaires |
---|
Employés | |
Sous-traitants | Equipes et sous traitants chargés de la maintenance |
Prestataires sous-traitants
N/A
Destinataires externes
Destinataires | Motif d'envoi d'informations | Commentaires |
---|
Administrations et organismes d'état | 06 Obligation légale | |
Organismes bancaires et financiers | 03 Relation contractuelle | |
Fournisseurs | 03 Relation contractuelle | |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Limité |
|
Impact sur l'organisme | Important |
|
Commentaires sur l'impact et la protection | L'organisme sous-traite le déploiement et l'entretien de son système d'information à un prestataire professionnel qui maintient contractuellement le système opérationnel et supervise "en temps réel" l'utilisation des matériels et applications de l'organisme |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesures organisationnelles | |
DPO désigné | Le Délégué à la Protection des Données (DPO) veille à la conformité de son organisme au regard de la réglementation applicable en matière de protection des données personnelles | Mesures organisationnelles | |
Protection physique des accès aux locaux et aux postes informatiques | Alarmes, serrures et autres contrôles physiques permettant de conditionner l’accès aux locaux, aux ordinateurs et aux équipements | Mesures physiques | |
Réseau : protection & supervision des usages | Pare-feu d'un niveau professionnel protégeant le réseau par filtrage et par supervision des ports d'entrée sortie des flux | Mesures technologiques | |
Matériels informatiques : supervision du parc reliée au centre de maintenance | Solution de monitoring système ou réseau permettant la transmission d'une alerte au service de maintenance en cas de panne ou d'anomalie | Mesures technologiques | |
Détail du registre des traitements RGPD :
Edition du site internet
Description du traitement
Désignation | Edition du site internet |
|
Finalité(s) | - permettre la présentation de l'organisme, ses activités et la consultation de son catalogue produits
- proposer un formulaire de contact et l'achat en ligne
- mesurer l'audience (nbre de visites, de pages vues activité des visiteurs, ...) pour adapter nos offres et nos présentations
- recueillir des informations sur les centres d’intérêt au travers des produits consultés sur notre site et collecter des données de navigation afin de personnaliser l’offre publicitaire qui vous est adressée sur et en dehors du site |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
Droit français | Site internet | Mentions obligatoires sur un site : service-public.fr, F31228 | |
Règlement européen | Cookies et traceurs | Consentement selon Réglementation Européenne sur les cookies et autres traceurs, article 5(3) de la directive 2002/58/CE | la CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement. |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
13 mois (Cookies et traceurs) | 01 Bases actives | Suppression | à l'issue de la période ou en cas de retrait du consentement, l'internaute est invité à donner à nouveau son consentement ; |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
02 Internautes | 09 Identifiants : adresse ip, terminal utilisé, id d'authentification, source | Non | |
02 Internautes | 14 Identifiants : ID unique de publicité (internet, cookie third party) | Oui (Art 9) | |
02 Internautes | 29 Activités : navigation internet, cookie (URL, adresse ip de l'ordinateur, moment, actions effectués…) | Non | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
|
Méthode(s) de consentement | Le bandeau cookies apparait dès que l'utilisateur arrive sur le site et il doit choisir "accepter tout" , "refuser" ou "gérer les préférences" |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Lorsque le bandeau est affiché, en cliquant sur "Paramètre des cookies", l'internaute visualise les catégories de cookies. |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Soit en cliquant sur "autoriser tous les cookies", soit sur "Paramètre des cookies" depuis le bandeau qui s'affiche en avant-plan à la première visite, puis en raccourci lors des visites suivantes. "un bouton glissant" permet d'activer ou de de désactiver le suivi |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
|
Destinataires internes
N/A
Prestataires sous-traitants
Désignation | Type de tiers | Site Web | Courriel | Commentaires |
---|
Google Ads | z Fournisseur de données | | | |
Destinataires externes
Destinataires | Motif d'envoi d'informations | Commentaires |
---|
Google Ads | 05 Echange de données contre service | |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | Hors U.E. | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Négligeable |
|
Impact sur l'organisme | Négligeable |
|
Commentaires sur l'impact et la protection | Les données anonymisée ne nécessitent pas de mesures particulières.
L'utilisation des cookies tiers sont strictement encadrées et font l'objet d'un consentement |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Politique de Confidentialité des Cookies | Elle s’impose aux responsables du ou des traitements qui déposent des traceurs soumis au consentement en application de l’article 82 de la loi Informatique et Libertés | Mesures organisationnelles | |
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesures physiques | "centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données |
Outil de gestion des cookies | Les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs, tandis que d’autres sont dispensés du recueil de ce consentement | Mesures technologiques | |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesures technologiques | chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements |
Détail du registre des traitements RGPD :
Activités de Social Selling
Description du traitement
Désignation | Activités de Social Selling |
|
Finalité(s) | - Acquisition d'informations sur les utilisateurs de réseaux sociaux
- Emissions de messages ciblés vers des abonnées (réseaux sociaux, forums)
- Echanges en ligne, publications dans des forums, chat live |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1f (intérêts légitimes) | Le traitement (commercial, sécurité des biens, etc.) est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. | Le traitement de DCP à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime, tout comme la prévention de la fraude.
Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Référentiel | Prospection numérique | CNIL Maitrisez votre relation client
CNIL Thématique, la prospection commerciale
| |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
Tant que la personne n'a pas retiré son consentement | 01 Bases actives | Suppression | et qu'elle reste abonnées au réseau social concerné |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
03 La personne enregistrée | 03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..) | Oui | |
03 La personne enregistrée | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Oui | |
03 La personne enregistrée | 25 Activités : activités sur les réseaux sociaux (posts, forums...) | Oui (Art 9) | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable détenu par un tiers |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par les réseaux sociaux : au moment de l'inscription de la personne, les conditions d'utilisation des réseaux sont affichées et doivent être acceptées. |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les réseaux sociaux disposent de tableaux de bord permettant aux personnes de paramétrer leur préférences de communication et de publicité |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Les réseaux sociaux disposent de procédures de portabilité et de gestionnaires du sort des données |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | Hors U.E. USA | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Négligeable |
|
Impact sur l'organisme | Négligeable |
|
Commentaires sur l'impact et la protection | Les comptes dédiés à ce traitement sont détenus par les personnes habilités ; dès lors que la personne concernée effectue une demande concernant ses achats, une conversation privée est initiée |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesures organisationnelles | L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
|
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesures physiques | "centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesures technologiques | chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements |
Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesures technologiques | |
Détail du registre des traitements RGPD :
Activités marketing et de prospection auprès de prospects particuliers
Description du traitement
Désignation | Activités marketing et de prospection auprès de prospects particuliers |
|
Finalité(s) | - Acquérir des bases de prospects par renseignements sur les profils de consommateurs ou achats réguliers de fichiers
- Réaliser des actions de prospection commerciale et de marketing (e-mailing, phoning)
- Organiser des jeux concours, parrainage, promotion, sondage
- Envoyer des messages publicitaires par mail ou SMS |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
Référentiel | Prospection numérique | CNIL Maitrisez votre relation client
CNIL Thématique, la prospection commerciale
| |
Référentiel | Prospection physique et par voie postale | particuliers : biens et services analogues
prospection des professionnels | CNIL La prospection commerciale
CNIL referentiel-gestion-commerciale.pdf
|
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
6 mois (journaux et logs des outils informatiques et numériques) | 01 Bases actives | Suppression | |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
10 Prospects | 01 Identifiants : état civil (nom, prénom, civilité) | Non | |
10 Prospects | 02 Identifiants : domicile privé (adresse postale) | Non | |
10 Prospects | 03 Identifiants : adresse de messagerie personnelle | Non | |
10 Prospects | 03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..) | Non | |
10 Prospects | 03 Identifiants : téléphone privé (portable, fixe) | Non | |
10 Prospects | 24 Activités : habitudes, activités, présence à des événements… | Non | |
10 Prospects | 24 Activités : profil d'acheteur, souhaits potentiels d'achat | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable obtenu lors d'un traitement connexe Consentement préalable détenu par un tiers |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | La personne a préalablement fournit un consentement. A chaque action marketing, une méthode (un lien, un email) est proposée pour permettre à la personne de refuser une prochaine communication en rapport avec la campagne |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | L'exercice des droits se fait soit via le prestataire si consentement détenu par un tiers, soit auprès du responsable du traitement pour la campagne considérée |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, car traitement automatisé |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Limité |
|
Impact sur l'organisme | Important |
|
Commentaires sur l'impact et la protection | Les approches marketing doivent tenir compte de l’importance grandissante de la protection de la vie privée et des lois qui la protège. Dans cette optique, nous privilégions des connexions personnelles et individualisées avec nos prospects ainsi qu'une communication transparente, loyale et adaptée. Par ailleurs, nous développons des outils permettant à la personne d'interagir facilement et directement sur ses données.afin d’établir la confiance avec les utilisateurs. |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesures organisationnelles | L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
|
Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesures organisationnelles | |
Pas de mesures physiques nécessaires | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesures physiques | |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesures technologiques | chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesures technologiques | |
Détail du registre des traitements RGPD :
Activités marketing et de prospection auprès des clients particuliers et des professionnels
Description du traitement
Désignation | Activités marketing et de prospection auprès des clients particuliers et des professionnels |
|
Finalité(s) | - Études marketing et génération de fichiers nominatifs client ciblés
- Réaliser des actions commerciales ou marketing direct auprès des clients (campagnes téléphoniques, envoi de messages mail ou SMS, jeux concours, parrainage, promotion, sondage)
- Émettre des messages de promotion vers des abonnées (réseaux sociaux, forums) |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Référentiel | Prospection numérique | CNIL Maitrisez votre relation client
CNIL Thématique, la prospection commerciale
| |
Référentiel | Prospection physique et par voie postale | particuliers : biens et services analogues
prospection des professionnels | CNIL La prospection commerciale
CNIL referentiel-gestion-commerciale.pdf
|
Combien de temps conservons-nous vos données ?
Aucun de temps de conservation designé.
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
12 Clients particuliers (B to C) | 01 Identifiants | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable obtenu lors d'un traitement connexe CGV |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par la présente Politique de Protection de données rappelée dans les Conditions Générales de Vente, et dans les contrats le cas échéant |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant directement à son contact commercial ou à l'accueil, en remplissant le formulaire d'exercice des droits le cas échéant |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, pas de données susceptibles d'être transmises |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Limité |
|
Impact sur l'organisme | Important |
|
Commentaires sur l'impact et la protection | Les approches marketing évoluent pour tenir compte de l’importance grandissante de la protection de la vie privée et des lois qui la protège. Dans cette optique, nous privilégions des connexions personnelles et individualisées avec nos prospects ainsi qu'une communication transparente, loyale et adaptée. Par ailleurs, nous développons des outils permettant à la personne d'interagir facilement et directement sur ses données.afin d’établir la confiance avec les utilisateurs. |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesures organisationnelles | L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
|
Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesures organisationnelles | |
Pas de mesures physiques nécessaires | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesures physiques | |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesures technologiques | |
Détail du registre des traitements RGPD :
Envoi de newsletters
Description du traitement
Désignation | Envoi de newsletters |
|
Finalité(s) | désignation de la newsletter, fréquence d'envoi |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
Droit français | Newsletter | article 32 de la Loi Informatique et Libertés ; article L34-5 du Code des postes et des communications électroniques | |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
Tant que la personne n'a pas retiré son consentement | 01 Bases actives | Suppression | Chaque envoi contient un lien de désabonnement en 1 clic. Celui-ci provoque l'effacement de la base d'envoi |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
05 Abonnés à une newsletter | 01 Identifiants | Non | |
05 Abonnés à une newsletter | 03 Identifiants : adresse de messagerie personnelle | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
|
Méthode(s) de consentement | La personne a donné son consentement par une case à cacher sur le formulaire internet d'abonnement |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | par une mention concernant les données personnelles sous le formulaire + un lien vers la présente Politique de Protection |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Lors de chaque envoi d'une newsletter, la personne peut se désabonner d'un simple clic grâce à un lien situé au pied du courrier |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
Destinataires | Motif d'envoi d'informations | Commentaires |
---|
| 03 Relation contractuelle | Éditeur du logiciel e-mailing en mode SaaS |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Négligeable |
|
Impact sur l'organisme | Limité |
|
Commentaires sur l'impact et la protection | Les abonnées à une newsletter s'apparentent à un fichier prospect/clients et doit être protégé comme tel |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesures organisationnelles | L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
|
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesures physiques | "centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données |
Détail du registre des traitements RGPD :
Jeux concours
Description du traitement
Désignation | Jeux concours |
|
Finalité(s) | - Organiser des loteries ou toute opération promotionnelle à l'exclusion des jeux d'argent et de hasard en ligne soumis à l'agrément de l'Autorité de Régulation des Jeux en Ligne
- Faire gagner des lots aux participants
- Promotionner les activités de l'organisme
|
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
Droit français | Jeux concours | Loi du 21 mai 1836, Modifié par LOI n°2014-1545 du 20 décembre 2014 - art. 54
CNIL organisation-de-jeux-concours-que-faire | |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
13 mois (Cookies et traceurs) | 01 Bases actives | Suppression | 3 ans après la date du jeu concours, sauf refus de la personne |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
03 La personne enregistrée | 01 Identifiants : état civil (nom, prénom, civilité) | Oui | |
03 La personne enregistrée | 02 Identifiants : domicile privé (adresse postale) | Non | |
03 La personne enregistrée | 03 Identifiants : adresse de messagerie personnelle | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
|
Méthode(s) de consentement | En s'inscrivant au jeu, les personnes acceptent les conditions générales du jeu |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Les conditions sont portées à leur connaissance sur le billet concours et rappelées via la présente Politique de Confidentialité |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les personnes peuvent refuser le traitement de leur données au moment de la participation en le spécifiant au moment de l'inscription |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Négligeable |
|
Impact sur l'organisme | Négligeable |
|
Commentaires sur l'impact et la protection | Aux fins d'impartialité, la liste des participants doit être destinée uniquement aux personnes habilités par le règlement du jeu afin de garantir un strict respect de celui-ci. |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Non implémenté(e).
Détail du registre des traitements RGPD :
Gestion et suivi des demandes entrantes
Description du traitement
Désignation | Gestion et suivi des demandes entrantes |
|
Finalité(s) | - Répondre aux demandes d'informations des tiers (prospects, clients, fournisseurs, ...) via le site (formulaire contact), mail, appel téléphonique ou lors des visites à l'accueil
- effectuer et enregistrer des conversations (chat) en ligne
- Répondre et conserver une copie des réponses
- Transmettre aux destinataires, le cas échéant, suivre les réponses jusqu'à conclusion |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1f (intérêts légitimes) | Le traitement (commercial, sécurité des biens, etc.) est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. | Le traitement de DCP à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime, tout comme la prévention de la fraude.
Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Droit français | Obligation générale d'information précontractuelle | Code de la consommation : L111-1 à L111-8 | |
Droit français | Secret des correspondances privées | Principes s'appliquant aux échanges oraux ou écrits impliquant par leur contenu une certaine intimité (selon appréciation des juges, Code pénal, art 226-15, Directive européenne 97/66, 15/12/1997)
Les correspondances professionnelles ne sont pas concernées | Il est interdit à toute autre personne que les destinataires, d’écouter, surveiller, intercepter, stocker, détourner, retarder ou divulguer les communications, sauf consentement préalable ou autorisation légale. |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
3 ans (données et échanges de prospection) | 01 Bases actives | Suppression | réponses aux courriers et correspondances. Tant que les personnes restent abonnées pour les conversations en ligne sur les réseaux sociaux. |
5 ans après l'échéance (données contractuelles) | 03 Archives intermédiaires | Suppression | pour certains messages ou correspondances constituant des preuves (de décisions, de contrats...) |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
03 La personne enregistrée | 01 Identifiants : état civil (nom, prénom, civilité) | Oui | |
03 La personne enregistrée | 02 Identifiants : domicile privé (adresse postale) | Non | |
03 La personne enregistrée | 03 Identifiants : adresse de messagerie personnelle | Non | |
03 La personne enregistrée | 03 Identifiants : téléphone privé (portable, fixe) | Non | |
03 La personne enregistrée | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Oui | |
03 La personne enregistrée | 22 Activités : devis, propositions, essais, négociations | Non | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Les personnes sont informées par la présente politique de protection des données et par un message dans les mails "correspondance respectant les conditions de notre politique de protection des données" |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | La personne pourra s'adresser directement à la direction par tél, mail ou physiquement, ou bien remplir le formulaire de demande de droit disponible depuis le site internet. |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, la personne dispose déjà des données car elle est partie prenante des échanges |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
Destinataires | Motif d'envoi d'informations | Commentaires |
---|
Parties prenantes d'une correspondance | 07 Autre | |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Important |
|
Impact sur l'organisme | Important |
|
Commentaires sur l'impact et la protection | L'application du droit au maintien du caractère privé et secret des correspondances s'applique aux courriers postaux et aux courriers électroniques ; de plus leur divulgation à une personne non autorisée peut entrainer des désagréments ou des tensions. En conséquence, l'accès à l'historique des demandes est restreint et des messageries adaptées à chaque usage (service client, logistique, gestion, RH) ont été crées afin de cloisonner l'information. |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Transmission directe et orale de l'information | L'absence de stockage évite des mesures de protection | Mesures organisationnelles | |
Accès via un compte soumis à une politique de droits | Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées | Mesures organisationnelles | Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...) |
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesures physiques | "centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesures technologiques | |
Détail du registre des traitements RGPD :
Gestion d'un CRM (fichier prospect/client)
Description du traitement
Désignation | Gestion d'un CRM (fichier prospect/client) |
|
Finalité(s) | Enregistrer et partager avec les personnes habilitées :
- les coordonnées des prospects & clients
- l'historique des demandes et affaires, potentielles, en cours ou traitées
- les actions commerciales menées (visites, phoning, mailing) |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1f (intérêts légitimes) | Le traitement (commercial, sécurité des biens, etc.) est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. | Le traitement de DCP à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime, tout comme la prévention de la fraude.
Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Droit français | Code de la propriété intellectuelle | Le CPI protège le patrimoine de l'entreprise, et notamment ses bases de données (fichiers clients...) du fait de l'investissement nécessaire à constitution et leur tenue (Art 341-1) | Le code de la propriété intellectuelle est un document du droit français, créé par la loi nᵒ 92-597 du 1ᵉʳ juillet 1992 relative au code de la propriété intellectuelle, publié au Journal officiel du 3 juillet 1992. |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
3 ans (coordonnées prospects et clients) | 01 Bases actives | Suppression | après le dernier échange ; une nouvelle demande de contact est alors effectuée |
3 ans (données et échanges de prospection) | 01 Bases actives | Suppression | concerne les devis et offres |
10 ans (comptabilité, pièces justificatives clients, fournisseurs) | 03 Archives intermédiaires | Suppression | données et documents concernant les ventes |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
11 Clients | 01 Identifiants | Oui | |
11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | |
12 Clients particuliers (B to C) | 02 Identifiants : domicile privé (adresse postale) | Oui | |
12 Clients particuliers (B to C) | 03 Identifiants : adresse de messagerie personnelle | Oui | |
12 Clients particuliers (B to C) | 03 Identifiants : téléphone privé (portable, fixe) | Oui | |
12 Clients professionnels (B to B) | 01 Identifiants : état civil (nom, prénom, civilité) | Oui | |
12 Clients professionnels (B to B) | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable obtenu lors d'un traitement connexe Traitement légitime ou pré-contractuel |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | La personne a été informée lors de la signature de la commande + elle pourra se référer à la présente politique de protection des données |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | La personne peut à tout moment demander une copie des informations qui la concerne via le formulaire d'exercice des droits |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, sauf demande expresse de la personne |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Limité |
|
Impact sur l'organisme | Important |
|
Commentaires sur l'impact et la protection | La protection du patrimoine de l'entreprise, et notamment du fichier client, est un souci permanent pour les responsables. Son contenu protégé par le code de la propriété intellectuelle (L-341-1 al.1er du CPI) du fait de l'investissement nécessaire à sa constitution et sa tenue |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesures organisationnelles | L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
|
Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesures organisationnelles | |
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesures physiques | "centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesures technologiques | |
Détail du registre des traitements RGPD :
Prospection commerciale par une force de vente, gestion des offres
Description du traitement
Désignation | Prospection commerciale par une force de vente, gestion des offres |
|
Finalité(s) | - prospecter des entreprises, des professionnels, des particuliers
- Collecter des cahiers des charges techniques et financiers
- Enregistrer les coordonnées des personnes
- Élaborer des offres, les remettre via mails ou papiers
- Négocier les propositions, suivre les objections
- Saisir les commandes ou les refus
- Suivre les livraisons ou les paiements
- Établir des statistiques d'activités commerciales |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée | |
Droit français | Code de commerce | Obligations légales entre commerçants ou entre commerçants et non-commerçants
Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce
Formes de ventes, prix, concurrence, garanties
| |
Droit français | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges | |
Droit français | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
Droit français | Obligation générale d'information précontractuelle | Code de la consommation : L111-1 à L111-8 | |
Référentiel | Gestion des activités commerciales | Référentiel CNIL "Gestion Commerciale" : contrats, prospection, comptabilité, statistiques, enquêtes, sav | |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
13 mois (Cookies et traceurs) | 01 Bases actives | Suppression | Les données nécessaires à l'exécution du contrat sont conservées durant toute la durée de celui-ci plus 3 ans.
Après 3 ans, les données de contact sont effacées et les factures archivées.*
Les statistiques concernant l'activité sont anonymisées ; celles concernant la personne sont conservées 3 ans après sa dernière communication |
mixte | 03 Archives intermédiaires | Archivage | Les factures et documents de réservation sont conservés 10 ans après leur émission |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
10 Prospects | 01 Identifiants : état civil (nom, prénom, civilité) | Oui | |
10 Prospects | 02 Identifiants : domicile privé (adresse postale) | Oui | |
10 Prospects | 03 Identifiants : adresse de messagerie personnelle | Non | |
10 Prospects | 03 Identifiants : téléphone privé (portable, fixe) | Non | |
10 Prospects | 10 Identifiants : signature (manuscrite, numérique) | Oui (Art 9) | |
10 Prospects | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Oui | |
10 Prospects | 22 Activités : devis, propositions, essais, négociations | Oui | |
10 Prospects | 23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) | Oui | |
10 Prospects | 23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui | |
10 Prospects | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
|
Méthode(s) de consentement | Les personnes signent un contrat et des annexes, permettant le recueil des données nécessaires à la vente |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par les CGV et par les conditions particulières du contrat, rubrique "Données personnelles" ; par la présente Politique de Protection des Données |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant directement au service commercial concerné ; le cas échéant, à la direction de l'organisme, au Délégué à la Protection des Données via contact@organisme.com, ou en remplissant le formulaire des droits depuis le site internet |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, aucune donnée n'a lieu d'être portée, les personnes ayant reçu un duplicata du contrat et aucune donnée supplémentaire n'ayant été collectée lors de son exécution |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Limité |
|
Impact sur l'organisme | Important |
|
Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément important de la vente, l'organisme a pris des mesures de protection appropriées concernant l'accès aux données qu'il stocke ainsi qu'aux modalités de partage des informations |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesures organisationnelles | L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
|
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesures organisationnelles | |
Accès via un compte soumis à une politique de droits | Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées | Mesures organisationnelles | Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...) |
Destruction du support papier | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesures physiques | |
Détail du registre des traitements RGPD :
E-commerce, vente sur internet via son propre site
Description du traitement
Désignation | E-commerce, vente sur internet via son propre site |
|
Finalité(s) | - enregistrer des commandes depuis son site interne
- collecter les informations de livraison
- recevoir les paiements en ligne
- stockage et archivage des coordonnées et échanges inhérents à la vente
|
|
Informations complémentaires | l'organisme, son service gestion (facturation), le service commercial (envoi d'information en rapport avec les achats)
Les transporteurs ou la poste (informations de livraison) |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
RGPD | Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée | |
Droit français | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges | |
Droit français | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
Droit français | Loi Hamon relative à la e-consommation | Loi no 2014-344 du 17 mars 2014 : meilleure information produits, droit de rétractation, de remboursement avec formulaires et délais, code de conduite du marchand | |
Droit français | Ventes e-commerce | Code de la consommation L111-L121-L221 pour les obligations et pratiques
Code civil – articles 1125 à 1126 et 1127-4 pour les e-contrats | https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/E-commerce-regles-applicables-au-commerce-electronique |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
13 mois (Cookies et traceurs) | 01 Bases actives | Suppression | Les données de réservation sont conservées 3 après l'achat ainsi que l'historique d'achat pour la personne ; des statistiques anonymes de vente sont effectuées |
mixte | 03 Archives intermédiaires | Archivage | Les données comptable et fiscales sont conservées 10 ans |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui | |
11 Clients | 02 Identifiants : domicile privé (adresse postale) | Oui | |
11 Clients | 03 Identifiants : adresse de messagerie personnelle | Oui | |
11 Clients | 03 Identifiants : téléphone privé (portable, fixe) | Non | |
11 Clients | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Non | |
11 Clients | 23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
|
Méthode(s) de consentement | La vente est validée via le formulaire de commande internet ; les conditions générales de vente sont présentées et explicitement acceptées par l'internaute lorsqu'il finalise son achat ou sa réservation en cliquant sur le bouton "Finaliser" |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | L'internaute dispose d'un lien "conditions spécifique au produit ou au service vendu", d'un autre lien vers les "conditions générales de vente" et de la Présente Politique de Protection de données, dans lesquels il est informé du traitement de ses données |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | L'internaute peut envoyer un mail à contact@organisme.fr ou en remplir le formulaire "Exercice des droits" à la rubrique "Données personnelles" accessible depuis le site |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Les données collectées font l'objet d'une confirmation par mail ce qui vaut pour la portabilité. A la demande du client, l'organisme peut re-transmettre les données acquises, les éventuelles échanges commerciaux ou demandes de remboursement. |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
Destinataires | Motif d'envoi d'informations | Commentaires |
---|
Administrations et organismes d'état | 06 Obligation légale | Sur demande, pour la lutte contre la fraude |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Limité |
|
Impact sur l'organisme | Important |
|
Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément essentiel pour la confiance des parties, l'organisme délègue auprès auprès d'une plateforme spécialisée le processus de commercialisation de ses produits. Le chiffrement du stockage et des flux garantit la protection des données de bout en bout. |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesures organisationnelles | |
Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesures organisationnelles | L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
|
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesures physiques | "centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesures technologiques | chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements |
Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesures technologiques | |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesures technologiques | |
Détail du registre des traitements RGPD :
E-Commerce, vente sur internet via des places de marché (Amazon, CDiscount...)
Description du traitement
Désignation | E-Commerce, vente sur internet via des places de marché (Amazon, CDiscount...) |
|
Finalité(s) | - Recevoir des commandes via des places de marché
- Collecter des commandes
- Recevoir les instructions de livraisons
- Recevoir les paiements
|
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1c (obligation légale) | le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis | |
Droit français | Wifi public, loi du 23/01/2006 | Code des postes et des communications électroniques, article L32 : obligation de déclaration ou de souscription auprès d'un opérateur wifi public (ARCEP) | Bornes installées en france sur data.gouv.fr/fr/datasets/bornes-wifi
|
Combien de temps conservons-nous vos données ?
Aucun de temps de conservation designé.
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
03 La personne enregistrée | 01 Identifiants | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
|
Méthode(s) de consentement | |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Contrat avec les partenaires - CGV pour les clients |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | N/A |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Important |
|
Impact sur l'organisme | Important |
|
Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément essentiel pour la confiance des parties, l'organisme délègue auprès auprès d'une plateforme spécialisée le processus de commercialisation de ses produits. Le chiffrement du stockage et des flux garantit la protection des données de bout en bout. |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesures organisationnelles | L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
|
Accès via un compte soumis à une politique de droits | Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées | Mesures organisationnelles | Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...) |
Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesures technologiques | |
Détail du registre des traitements RGPD :
E-commerce, vente sur internet en tant que place de marché
Description du traitement
Désignation | E-commerce, vente sur internet en tant que place de marché |
|
Finalité(s) | - Être place de marché : enregistrer des commandes pour des partenaires, adhérents...
- recueillir, partager & transmettre les éléments d'achats issues de commandes d'internautes pour le compte d'entreprises
- recevoir des paiements en ligne |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Droit français | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
Droit français | Loi Hamon relative à la e-consommation | Loi no 2014-344 du 17 mars 2014 : meilleure information produits, droit de rétractation, de remboursement avec formulaires et délais, code de conduite du marchand | |
Droit français | Obligation générale d'information précontractuelle | Code de la consommation : L111-1 à L111-8 | |
Droit français | Ventes e-commerce | Code de la consommation L111-L121-L221 pour les obligations et pratiques
Code civil – articles 1125 à 1126 et 1127-4 pour les e-contrats | https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/E-commerce-regles-applicables-au-commerce-electronique |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
13 mois (Cookies et traceurs) | 01 Bases actives | Suppression | l'année en cours, pour les données d'achat et de livraison, puis archivage
3 ans pour les coordonnées de l'acheteur, puis anonymisation |
mixte | 03 Archives intermédiaires | Archivage | 10 ans, pour les documents de vente |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui | |
11 Clients | 02 Identifiants : domicile privé (adresse postale) | Oui | |
11 Clients | 03 Identifiants : adresse de messagerie personnelle | Oui | |
11 Clients | 03 Identifiants : téléphone privé (portable, fixe) | Non | |
11 Clients | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Non | |
11 Clients | 23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
|
Méthode(s) de consentement | La personne concernée coche une case d'option lors du processus d'achat pour les CGU du site + une autre pour l'acceptation des CGV |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par les pages "Conditions Générales de Vente" et "Données personnelles" du site d'achat |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En faisant la demande par email à commande@organisme.fr ou en remplissant le formulaire d'exercice des droits - La personne concernée peut directement gérer ses informations de contact via son compte ; elle peut également choisir ses options de communication et supprimer celui-ci |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | La personne peut à tout moment faire la demande via le mail commande@organisme.fr |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
Destinataires | Motif d'envoi d'informations | Commentaires |
---|
Transporteurs | 03 Relation contractuelle | Pour les livraisons |
Administrations et organismes d'état | 06 Obligation légale | Sur demande, pour la lutte contre la fraude |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Limité |
|
Impact sur l'organisme | Important |
|
Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément essentiel pour la confiance des parties, l'organisme délègue auprès auprès d'une plateforme spécialisée le processus de commercialisation des produits. Le chiffrement du stockage et des flux garantit la protection des données de bout en bout. |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesures organisationnelles | |
Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesures organisationnelles | L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
|
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesures physiques | "centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesures technologiques | chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements |
Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesures technologiques | |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesures technologiques | |
Détail du registre des traitements RGPD :
Vente en magasin
Description du traitement
Désignation | Vente en magasin |
|
Finalité(s) | Vente d'articles en magasin
- particuliers ou professionnels
- sans collecte des données clientèle |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
Droit français | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges | |
Droit français | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
13 mois (Cookies et traceurs) | 01 Bases actives | Suppression | Le temps de l'encaissement pour les durées de chèques et de CB |
mixte | 03 Archives intermédiaires | Archivage | 3 ans pour les bordereau de remise |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
11 Clients | 50 Economique et financière : carte bancaire (propriétaire, numéro, expiration) | Oui (Art 9) | |
11 Clients | 51 Economique et financière : chèque, nom, adresse, banque, signature | Non | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par les conditions générales de vente de l'organisme, quand elles existent et disponibles sur simple demande |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant à l’accueil, le cas échéant à la direction |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
Destinataires | Motif d'envoi d'informations | Commentaires |
---|
Organismes bancaires et financiers | 06 Obligation légale | Dans le cas des paiements par chèque |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Négligeable |
|
Impact sur l'organisme | Limité |
|
Commentaires sur l'impact et la protection | Les ventes en magasin génèrent très peu de traitements de données hormis les moyens de paiement nominatifs. La gestion de la caisse est organisée en conséquence |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Non implémenté(e).
Détail du registre des traitements RGPD :
Administration des ventes : suivi des commandes et de leur exécution
Description du traitement
Désignation | Administration des ventes : suivi des commandes et de leur exécution |
|
Finalité(s) | - Réception des commandes
- Collecte et saisie des documents contractuels
- Enregistrement des coordonnées de la clientèle
- Transmission des ordres aux services techniques
- Passation des commandes fournisseurs
- Suivi de l'exécution des contrats
- Saisie des éléments sur la base des commandes
- Préparation à la facturation |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Droit français | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
Référentiel | Gestion des activités commerciales | Référentiel CNIL "Gestion Commerciale" : contrats, prospection, comptabilité, statistiques, enquêtes, sav | |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
Tant que la comptabilité n'est pas clôturée (année fiscale) | 01 Bases actives | Archivage | Devis, commandes, bons de livraison, bon de transport, de livraisons |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui | |
11 Clients | 02 Identifiants : domicile privé (adresse postale) | Oui | |
11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Via les CGV, que le client e-commerce valide spécifiquement ou pour un magasin, effectuer un achat emporte l'adhésion pleine, entière et sans réserve du Client aux CGV. |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant directement à l'entreprise ou en remplissant le formulaire d'exercice des droits (rubrique "Données personnelles" du site") |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A car traitement légitime |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Limité |
|
Impact sur l'organisme | Important |
|
Commentaires sur l'impact et la protection | Les activités commerciales (commandes, tarifs, marges) sont un élément clé du patrimoine de l'organisme. Des procédures spécifiques de cloisonnement et de protection sont mises en œuvre |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Accès via un compte soumis à une politique de droits | Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées | Mesures organisationnelles | Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...) |
Données stockées dans un serveur à l'accès physique contrôlé | Protection des locaux et des accès | Mesures physiques | |
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesures physiques | "centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données |
Stockage dans un contenant (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesures physiques | |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesures technologiques | chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements |
Détail du registre des traitements RGPD :
Gérer des programmes de fidélité
Description du traitement
Désignation | Gérer des programmes de fidélité |
|
Finalité(s) | - Carte de fidelité
- Parrainage, bons cadeaux... |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Pas de base(s) légale(s)
Combien de temps conservons-nous vos données ?
Aucun de temps de conservation designé.
Quelles personnes et quelles données font l'objet de ce traitement ?
Aucune catégorie de personnes désignée
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | N/A |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | N/A |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | N/A |
|
Impact sur l'organisme | N/A |
|
Commentaires sur l'impact et la protection | |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Non implémenté(e).
Détail du registre des traitements RGPD :
Collecter des avis, recommandations, opinions
Description du traitement
Désignation | Collecter des avis, recommandations, opinions |
|
Finalité(s) | - Collecter des questionnaires de satisfaction concernant les produits ou services proposés
- Réaliser des enquêtes de satisfaction, des sondages et le suivi d'utilisation auprès des campeurs
- Agréger des données nominatives ou non issues des enquêtes afin de construire des indicateurs concernant la satisfaction concernant nos services |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
Droit français | Avis en lignes | Décret n°2017-1436 du Code de la consommation
Norme NF ISO 20488 encadrant les «avis en ligne» (date, expérience, critère, contreparties, contrôle, modification, rejet) | |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
Tant que la personne n'a pas retiré son consentement | 01 Bases actives | Suppression | Les avis sont conservés tant que les personnes n'ont pas retiré leur consentement ou tant que l'organisme ou le prestataire assure sa diffusion |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
03 La personne enregistrée | 01 Identifiants : état civil (nom, prénom, civilité) | Non | |
03 La personne enregistrée | 03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..) | Oui | |
03 La personne enregistrée | 35 Opinions : date, avis, retour d'expérience, note | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable détenu par un tiers |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Pour les avis en ligne, les personnes ont consenti au Conditions Générales d’Utilisation prestataire permettant la publication de l'avis
Pour les avis laissés au format papier, une mention sur le formulaire renvoie à la présente Politique de Protection |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les avis en ligne sont modifiables par les personnes dépositaires selon les CGU du prestataire. Leur publication peut être modéré par l'organisme
Les avis laissés sur formulaires papier sont conservés |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Automatique, les personnes reçoivent une copie de leur avis |
|
Destinataires internes
N/A
Prestataires sous-traitants
Désignation | Type de tiers | Site Web | Courriel | Commentaires |
---|
Réseaux sociaux | z Fournisseur de données | | | |
Destinataires externes
Destinataires | Motif d'envoi d'informations | Commentaires |
---|
Tout public | 02 Copie pour information | |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | Hors U.E. | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Limité |
|
Impact sur l'organisme | Important |
|
Commentaires sur l'impact et la protection | Concernant les personnes, les avis sont publics ; concernant l'organisme, l'accès à l'ensemble des avis et des réponses doit rester strictement réservé aux personnes habilitées |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesures organisationnelles | L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
|
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesures physiques | "centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données |
Détail du registre des traitements RGPD :
Execution du contrat de vente "nom_du_contrat "
Description du traitement
Désignation | Execution du contrat de vente "nom_du_contrat " |
|
Finalité(s) | - délivrer les produits et services vendus
- gestion des commandes et des livraisons jusqu'à la facturation
|
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
13 mois (Cookies et traceurs) | 01 Bases actives | Suppression | Les données sont conservées tant que le contrat est en cours puis pendant l’exercice fiscal. 3 ans après le dernier échange, les coordonnées de contact sont effacés ou anonymisés |
mixte | 03 Archives intermédiaires | Archivage | Les éléments du contrats ainsi que les documents de facturation sont archivés pour une durée de 10 ans, puis effacés |
Quelles personnes et quelles données font l'objet de ce traitement ?
Aucune catégorie de personnes désignée
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | N/A |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | N/A |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | N/A |
|
Impact sur l'organisme | N/A |
|
Commentaires sur l'impact et la protection | |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Non implémenté(e).
Détail du registre des traitements RGPD :
Execution des contrats : logistique, livraisons et retours
Description du traitement
Désignation | Execution des contrats : logistique, livraisons et retours |
|
Finalité(s) | - traitement des commandes clients
- gestion des approvisionnements
- expédition des marchandises
- gestion des retours clients |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Droit français | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges | |
Droit français | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
13 mois (Cookies et traceurs) | 01 Bases actives | Suppression | Les données sont conservées tant que le contrat est en cours |
mixte | 03 Archives intermédiaires | Archivage | les coordonnées de contact ; à l'issue du contrat les données sont |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
12 Clients particuliers (B to C) | 01 Identifiants | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | N/A |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | N/A |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | N/A |
|
Impact sur l'organisme | N/A |
|
Commentaires sur l'impact et la protection | |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesures organisationnelles | |
Stockage dans un contenant (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesures physiques | |
Anonymisation de la transaction | Une fois la transaction validée, les données sont anonymisées | Mesures technologiques | |
Détail du registre des traitements RGPD :
Execution des contrats : livraison et pose d'appareils
Description du traitement
Désignation | Execution des contrats : livraison et pose d'appareils |
|
Finalité(s) | - Organiser les commandes et les livraisons des matériels par vente
- Organiser les plannings quotidien, affecter les techniciens, les véhicules...
- Échanger avec le client concernant l'installation
- Effectuer la pose sur site
- Récolter des PVs d’exécution |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Droit français | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
Référentiel | Gestion des activités commerciales | Référentiel CNIL "Gestion Commerciale" : contrats, prospection, comptabilité, statistiques, enquêtes, sav | |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
Tant que le chantier est en cours | 01 Bases actives | Restitution | données de commandes, articles, éléments techniques, délais de livraison, éléments nécessaires à la pose / au montage. Restitution à la direction |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui | |
11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable obtenu lors d'un traitement connexe |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Informations délivrées lors de la commande (conditions du contrat, CGV) |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant directement à la direction ou en remplissant le formulaire d'exercice des droits |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Oui, une copie des informations de chantier sont remises au client à l'issue de l'installation |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | N/A |
|
Impact sur l'organisme | N/A |
|
Commentaires sur l'impact et la protection | Les éléments techniques (matériaux marques et modèles, délais d'installation, méthodes de pose...) sont des éléments intégrant la propriété intellectuelles de l'entreprise. Des procédures de confidentialité et de protection des données sont mises en œuvre sur le terrain |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesures organisationnelles | |
Destruction du support papier | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesures physiques | |
Stockage dans un contenant (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesures physiques | |
Appareils fixes & mobiles : solution de protection renforcée | Pour chaque appareil connecté : antivirus , protection du compte, pare-feu et protection réseau, contrôle des applications et du navigateur, sécurité de l'appareil | Mesures technologiques | |
Détail du registre des traitements RGPD :
Execution des contrats : exécution technique de contrats de chantier
Description du traitement
Désignation | Execution des contrats : exécution technique de contrats de chantier |
|
Finalité(s) | - Organiser les commandes et les livraisons des matériels par chantier
- Organiser les plannings quotidien, affecter les techniciens et les véhicules
- Échanger avec le client, organiser des réunions de chantier, récolter les PV d’exécution
- Calculer les ratios de rentabilité par chantier |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Droit français | Code de commerce | Obligations légales entre commerçants ou entre commerçants et non-commerçants
Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce
Formes de ventes, prix, concurrence, garanties
| |
Référentiel | Facturation, paiements | service-public.fr N31384, F23208
Devis, mentions obligatoires sur une facture, conditions générales de vente entre professionnels (CGV) délais de paiement entre professionnels et pénalités de retard
service-public.fr F31808
Facturation entre professionnels ou particulier
| Code de commerce : L441-9 Les conditions et sanctions de la facturation |
Référentiel | Gestion des activités commerciales | Référentiel CNIL "Gestion Commerciale" : contrats, prospection, comptabilité, statistiques, enquêtes, sav | |
Combien de temps conservons-nous vos données ?
Aucun de temps de conservation designé.
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
12 Clients particuliers (B to C) | 01 Identifiants | Oui | |
12 Clients professionnels (B to B) | 01 Identifiants | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | N/A |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | N/A |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | N/A |
|
Impact sur l'organisme | N/A |
|
Commentaires sur l'impact et la protection | |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
PSSI mis en oeuvre | Plan de Sécurité des Systèmes d'Information : mesures de sécurité et de protection normalisées, régulièrement auditées et éprouvées
| Mesures organisationnelles | |
Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesures organisationnelles | |
Protection physique des accès aux locaux et aux postes informatiques | Alarmes, serrures et autres contrôles physiques permettant de conditionner l’accès aux locaux, aux ordinateurs et aux équipements | Mesures physiques | |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesures technologiques | chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements |
Détail du registre des traitements RGPD :
Execution des contrats : gestion de contrats d'entretien (maintenance, interventions SAV)
Description du traitement
Désignation | Execution des contrats : gestion de contrats d'entretien (maintenance, interventions SAV) |
|
Finalité(s) | - Recevoir les appels de maintenance et planifier les interventions
- Gérer les maintenances préventives et correctives et commander les pièces
- Organiser les tournées des techniciens, réaliser, valider et clôturer les interventions sur site
- Effectuer le suivi du renouvellement des contrats d'entretien
|
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Pas de base(s) légale(s)
Combien de temps conservons-nous vos données ?
Aucun de temps de conservation designé.
Quelles personnes et quelles données font l'objet de ce traitement ?
Aucune catégorie de personnes désignée
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | N/A |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | N/A |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | N/A |
|
Impact sur l'organisme | N/A |
|
Commentaires sur l'impact et la protection | |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Non implémenté(e).
Détail du registre des traitements RGPD :
Execution des contrats : production et usinage
Description du traitement
Désignation | Execution des contrats : production et usinage |
|
Finalité(s) | - production & usinage
|
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1f (intérêts légitimes) | Le traitement (commercial, sécurité des biens, etc.) est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. | Le traitement de DCP à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime, tout comme la prévention de la fraude.
Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Droit français | Code de commerce | Obligations légales entre commerçants ou entre commerçants et non-commerçants
Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce
Formes de ventes, prix, concurrence, garanties
| |
Combien de temps conservons-nous vos données ?
Aucun de temps de conservation designé.
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
12 Clients particuliers (B to C) | 01 Identifiants | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | N/A |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | N/A |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | N/A |
|
Impact sur l'organisme | N/A |
|
Commentaires sur l'impact et la protection | |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Non implémenté(e).
Détail du registre des traitements RGPD :
Execution des contrats : interventions SAV
Description du traitement
Désignation | Execution des contrats : interventions SAV |
|
Finalité(s) | - Gestion de prestation de réparation et d'entretien |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
Droit français | Avis en lignes | Décret n°2017-1436 du Code de la consommation
Norme NF ISO 20488 encadrant les «avis en ligne» (date, expérience, critère, contreparties, contrôle, modification, rejet) | |
Droit français | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges | |
Combien de temps conservons-nous vos données ?
Aucun de temps de conservation designé.
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
03 La personne enregistrée | 01 Identifiants | Oui | |
12 Clients particuliers (B to C) | 01 Identifiants | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | N/A |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | N/A |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | N/A |
|
Impact sur l'organisme | N/A |
|
Commentaires sur l'impact et la protection | |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesures organisationnelles | |
Protection physique des accès aux locaux et aux postes informatiques | Alarmes, serrures et autres contrôles physiques permettant de conditionner l’accès aux locaux, aux ordinateurs et aux équipements | Mesures physiques | |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesures technologiques | chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesures technologiques | |
Détail du registre des traitements RGPD :
Gestion des garanties (légales, décennales)
Description du traitement
Désignation | Gestion des garanties (légales, décennales) |
|
Finalité(s) | - stocker les garanties souscrites
- |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Pas de base(s) légale(s)
Combien de temps conservons-nous vos données ?
Aucun de temps de conservation designé.
Quelles personnes et quelles données font l'objet de ce traitement ?
Aucune catégorie de personnes désignée
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | N/A |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | N/A |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | N/A |
|
Impact sur l'organisme | N/A |
|
Commentaires sur l'impact et la protection | |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Non implémenté(e).
Détail du registre des traitements RGPD :
Statistiques clients
Description du traitement
Désignation | Statistiques clients |
|
Finalité(s) | - Statistiques par client / historique vente
- Etude marketing et génération de fichier nominatif client |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1f (intérêts légitimes) | Le traitement (commercial, sécurité des biens, etc.) est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. | Le traitement de DCP à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime, tout comme la prévention de la fraude.
Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Référentiel | Gestion des activités commerciales | Référentiel CNIL "Gestion Commerciale" : contrats, prospection, comptabilité, statistiques, enquêtes, sav | |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
13 mois (Cookies et traceurs) | 01 Bases actives | Suppression | 3 ans, pour les statistiques nominatives |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Non | |
11 Clients | 23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui | |
11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | L'information est délivrée à la lecture des CGV et au travers de la présente politique de protection |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant directement à l'accueil, ou en remplissant le formulaire d'exercice des droist depuis le site internet |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A car traitement légitime |
|
Destinataires internes
Désignation | Commentaires |
---|
01. Direction (1) | |
04. Comptabilité (3) | |
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Limité |
|
Impact sur l'organisme | Important |
|
Commentaires sur l'impact et la protection | Les statistiques de vente constituent des éléments de valeur pour la direction de l'entreprise |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesures organisationnelles | |
Données stockées dans un serveur à l'accès physique contrôlé | Protection des locaux et des accès | Mesures physiques | |
Détail du registre des traitements RGPD :
Gestion des achats et des fichiers fournisseurs
Description du traitement
Désignation | Gestion des achats et des fichiers fournisseurs |
|
Finalité(s) | - Effectuer les opérations administratives liées aux contrats, aux commandes, aux réceptions, aux factures, aux règlements
- Entretenir une base fournisseurs (coordonnées, contacts, historiques d'achats, documentations)
- Établir des statistiques financières et de chiffre d'affaires par fournisseur
- Fournir des sélections de fournisseurs
- Gérer l’exécution financière des dépenses de l'entreprise et le suivi de budgets hors dépense de personnel |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
Droit français | Code de commerce | Obligations légales entre commerçants ou entre commerçants et non-commerçants
Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce
Formes de ventes, prix, concurrence, garanties
| |
Référentiel | Fichiers de fournisseurs | CNIL Norme DI 04 concernant les fichiers fournisseurs et la prospection commerciale | |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
13 mois (Cookies et traceurs) | 01 Bases actives | Suppression | 1 an jusqu'à clôture de la comptabilité, puis procédure logicielle d'archivage annuelle |
mixte | 03 Archives intermédiaires | Archivage | 10 ans, conformément aux codes des impôts pour tous les documents concernant les achats |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
13 Fournisseurs, partenaires, cotraitants | 01 Identifiants : état civil (nom, prénom, civilité) | Oui | |
13 Fournisseurs, partenaires, cotraitants | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Oui | |
13 Fournisseurs, partenaires, cotraitants | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | |
31 Prestataires, consultants | 01 Identifiants : état civil (nom, prénom, civilité) | Oui | |
31 Prestataires, consultants | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Obligation légale Respect des CGV |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | La conservation et les échanges de données sont régies par les Conditions Générales de Vente ou les Conditions Générales d'Utilisation ou les contrats et conventions spécifiques qui régissent les relations des parties |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les employés des tiers en contact avec l'organisme ne peuvent faire valoir l’exercice d'un droit que par l'intermédiaire de leur employeur. Les organismes mettent en œuvre des systèmes d'anonymisation lorsque le besoin s'en fait sentir. |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | non, sauf spécifications contraire entre les parties |
|
Destinataires internes
Désignation | Commentaires |
---|
04. Comptabilité (3) | |
Prestataires sous-traitants
N/A
Destinataires externes
Destinataires | Motif d'envoi d'informations | Commentaires |
---|
Parties prenantes d'une correspondance | 02 Copie pour information | |
Administrations et organismes d'état | 06 Obligation légale | Déclarations fiscales et éléments comptables |
Cabinet comptable, social, juridique | 03 Relation contractuelle | Révision comptable |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Limité |
|
Impact sur l'organisme | Important |
|
Commentaires sur l'impact et la protection | La protection des fichiers fournisseurs, des prix et des volumes d'achat est une préoccupation importante de chaque organisme. L'accès est donc réservé aux seules personnes habilitées |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Accès via un compte soumis à une politique de droits | Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées | Mesures organisationnelles | Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...) |
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesures organisationnelles | |
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesures physiques | "centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesures technologiques | chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements |
Détail du registre des traitements RGPD :
Comptabilité, émission et suivi des paiements et de la trésorerie
Description du traitement
Désignation | Comptabilité, émission et suivi des paiements et de la trésorerie |
|
Finalité(s) | - Encaisser les paiements clients, effectuer les relances
- Émettre des paiements fournisseurs et tiers
- Suivre les comptes bancaires, la trésorerie
- Saisir la comptabilité générale : client, fournisseurs, employés
- Déclarer les comptes auprès des services fiscaux, les publier |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1f (intérêts légitimes) | Le traitement (commercial, sécurité des biens, etc.) est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. | Le traitement de DCP à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime, tout comme la prévention de la fraude.
Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Droit français | Comptabilité | Service Public, règles comptables
CNIL, Délibération relative au traitement automatisé de la comptabilité générale
| |
Référentiel | Délais de conservation et d'archivage des documents pour les entreprises | Une entreprise doit conserver tout document émis ou reçu dans l'exercice de son activité pendant une durée minimale. Ce délai varie selon la nature des papiers et les obligations légales. L'entreprise peut aussi archiver les documents plus longtemps, sauf s'ils contiennent des données personnelles. Pendant ce délai, l'administration peut mener des contrôles. | |
Référentiel | Gestion des impayés | CNIL referentiel-gestion-impayes.pdf | |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
Tant que la comptabilité n'est pas clôturée (année fiscale) | 01 Bases actives | Archivage | l'année en cours jusqu'à clôture de la comptabilité, pour les documents et fichiers, puis transfert aux archives |
10 ans (comptabilité, pièces justificatives clients, fournisseurs) | 03 Archives intermédiaires | Archivage | |
10 ans au moins (Comptes annuels (bilan, compte de résultat et annexes) / Comptes sociaux) | 04 Archives longues | Suppression | à compter de la clôture de l’exercice considéré (Article L. 123-22) |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
11 Clients | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Non | |
11 Clients | 23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) | Oui | |
13 Fournisseurs, partenaires, cotraitants | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Non | |
13 Fournisseurs, partenaires, cotraitants | 23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) | Oui | |
20 Employés de l'organisme | 76 Données RH : salaire, acomptes, coef. retenue à la source, domiciliation bancaire | Oui (Art 9) | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel Obligation légale |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Pas d'information particulière autre que la Politique de Protection |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Pas de droits particuliers sur ce traitement |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
Destinataires | Motif d'envoi d'informations | Commentaires |
---|
Cabinet comptable, social, juridique | 03 Relation contractuelle | Contrôle de gestion |
Administrations et organismes d'état | 06 Obligation légale | Déclarations fiscales |
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Oui |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Limité |
|
Impact sur l'organisme | Important |
|
Commentaires sur l'impact et la protection | Les données comptables sont confidentielles car elles contiennent des informations sensibles sur l'activité de l'organisme (CA des clients, CA des fournisseurs, marges, rémunérations des employés et dirigeants). L'organisme a mis en place des procédures physiques, organisationnelles et techniques pour protéger ses documents et logiciels comptables |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesures organisationnelles | L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
|
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesures organisationnelles | |
Destruction du support papier | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesures physiques | |
Données stockées dans un serveur à l'accès physique contrôlé | Protection des locaux et des accès | Mesures physiques | |
Stockage dans un contenant (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesures physiques | |
Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesures technologiques | chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements |
Détail du registre des traitements RGPD :
Candidatures et recrutement
Description du traitement
Désignation | Candidatures et recrutement |
|
Finalité(s) | - veille sur les candidatures, stockage des candidatures spontanés (entretien d'une CV-thèque)
- constitution d'une CV-thèque
- filtrage et communication à la direction et aux chefs de service
- gestion des entretiens d'embauche |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée | |
Droit français | Code du travail : les droits du candidat | Le recruteur est fondé à demander au candidat tous les éléments permettant de vérifier sa qualification et ses antécédents professionnels mais il doit limiter ses investigations à cette sphère. Le candidat à un emploi est de son côté tenu de répondre de bonne foi aux questions qui lui sont légalement posées. | |
Référentiel | Recrutement | CNIL les-operations-de-recrutement | |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
2 ans maximum après leur réception (candidatures, Cvs) | 01 Bases actives | Suppression | |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
22 Candidats à un emploi | 01 Identifiants : état civil (nom, prénom, civilité) | Oui | |
22 Candidats à un emploi | 02 Identifiants : domicile privé (adresse postale) | Non | |
22 Candidats à un emploi | 03 Identifiants : adresse de messagerie personnelle | Non | |
22 Candidats à un emploi | 03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..) | Non | |
22 Candidats à un emploi | 03 Identifiants : téléphone privé (portable, fixe) | Non | |
22 Candidats à un emploi | 15 Caractéristiques personnelles : date et lieu de naissance | Non | |
22 Candidats à un emploi | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Non | |
22 Candidats à un emploi | 41 Situation et relations : profession, domaine d'activité, catégorie socio-professionnelle | Oui (Art 9) | |
22 Candidats à un emploi | 70 Données RH : CV, diplômes, expériences, centres d'intérêts | Oui | |
22 Candidats à un emploi | 75 Données RH : entretiens (dates, évaluateur, objectifs, appréciations) | Oui (Art 9) | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Les candidats reçoivent un email en réponse à leur demande qui indique un lien vers la Politique de Protection des Données |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Ils peuvent agir sur leurs données via le formulaire d'exercice des droits |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A : aucune donnée collectée ne nécessite une portabilité |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Oui |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Limité |
|
Impact sur l'organisme | Limité |
|
Commentaires sur l'impact et la protection | La gestion des candidatures revêt une certaine sensibilité dans la mesure où de nombreuses informations doivent être disponibles pour être étudiées. En conséquence, ce processus reste interne afin de conserver la confidentialité |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesures organisationnelles | |
Accès via un compte soumis à une politique de droits | Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées | Mesures organisationnelles | Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...) |
Stockage dans un contenant (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesures physiques | |
Détail du registre des traitements RGPD :
Surveillance des locaux enregistrements vidéo
Description du traitement
Désignation | Surveillance des locaux enregistrements vidéo |
|
Finalité(s) | - assurer la sécurité des biens et des personnes
- prévenir le vol en dissuadant les personnes
- en cas de constat, aider à la preuve |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1f (intérêts légitimes) | Le traitement (commercial, sécurité des biens, etc.) est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. | Le traitement de DCP à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime, tout comme la prévention de la fraude.
Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
Droit français | Code de la sécurité intérieure, vidéo surveillance | Code sécurité intérieure : Art L223-1, art. L251-1, L613-13, R223-2, R521-7, R253-3 | Le Code de la sécurité intérieure ou CSI est, en droit français, un code juridique créé en 2012 pour regrouper l'ensemble des dispositions législatives et réglementaires ayant trait à la sécurité intérieure. |
Droit français | Systèmes de videosurveillance | Arrêté du 3 août 2007 portant définition des normes techniques des systèmes de vidéosurveillance. | |
Référentiel | La vidéosurveillance-vidéoprotection au travail | RGPD Article 13
CNIL La vidéosurveillance-vidéoprotection au travail | |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
13 mois (Cookies et traceurs) | 01 Bases actives | Suppression | 24 h à 3 mois selon les dispositifs puis effacement automatique |
mixte | 03 Archives intermédiaires | Archivage | tant que la procédure est en cours, pour la conservation de preuves dans le cas d'une plainte , puis effacement manuel |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
01 Tout Public | 27 Activités : film (vidéo vidéoprotection, vidéo-surveillance) | Oui (Art 9) | |
20 Employés de l'organisme | 27 Activités : film (vidéo vidéoprotection, vidéo-surveillance) | Oui (Art 9) | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
|
Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Affichage légal : présence de xxx panneaux indiquant la vidéo surveillance, la durée de conservation des images, qui peut les consulter |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les panneaux indiquent les coordonnées du service à contacter pour exercer ses droits + l'existence du formulaire d'exercice des droits disponible sur le site |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non (traitement légitime et automatisé) |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Limité |
|
Impact sur l'organisme | Important |
|
Commentaires sur l'impact et la protection | Si ces outils sont légitimes pour assurer la sécurité des biens et des personnes, ils ne peuvent pas conduire à placer les employés sous surveillance constante et permanente ; le visionnage est restreint aux seules personnes habilitées par l'organisme |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesures organisationnelles | L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
|
Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesures organisationnelles | |
Protection physique des accès aux locaux et aux postes informatiques | Alarmes, serrures et autres contrôles physiques permettant de conditionner l’accès aux locaux, aux ordinateurs et aux équipements | Mesures physiques | |
Gardiennage des locaux | | Mesures physiques | |
Accès aux données via une double authentification | L’authentification multifacteur est obligatoire : message texte envoyé à un téléphone, appel téléphonique, application ou clé d'authentification | Mesures technologiques | |
Détail du registre des traitements RGPD :
Wifi public
Description du traitement
Désignation | Wifi public |
|
Finalité(s) | - Fournir du wifi au public
- Répondre aux obligations légales en matière de wifi public (suivi des personnes connectés)
- Filtrer de sites Internet illégaux ou présentant un risque pour l'organisme tels que les sites de pédophilie, xénophobie, piratage... |
|
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type | Désignation | Contenu | Commentaires |
---|
RGPD | Article 6-1c (obligation légale) | le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis | |
Droit français | Wifi public, loi du 23/01/2006 | Code des postes et des communications électroniques, article L32 : obligation de déclaration ou de souscription auprès d'un opérateur wifi public (ARCEP) | Bornes installées en france sur data.gouv.fr/fr/datasets/bornes-wifi
|
Référentiel | Wifi public, Hot Spot : obligations | CNIL conservation-des-donnees-de-trafic-hot-spots-wi-fi-cybercafes-employeurs-quelles-obligations | Conservation des données de trafic : hot-spots wi-fi, cybercafés, employeurs, quelles obligations ? |
Combien de temps conservons-nous vos données ?
Précisez les durées de conservation et le devenir des DCP concernées par ce traitement | Type de stockage | Action en fn de période | Commentaires |
---|
13 mois (Cookies et traceurs) | 01 Bases actives | Suppression | 1 an, ensuite suppression automatique |
mixte | 03 Archives intermédiaires | Archivage | le temps de la procédure, en cas de litiges avec la justice. |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes | Catégories de données | Sensibles | Commentaires |
---|
03 La personne enregistrée | 03 Identifiants : adresse de messagerie personnelle | Oui | |
03 La personne enregistrée | 09 Identifiants : adresse ip, terminal utilisé, id d'authentification, source | Oui | |
03 La personne enregistrée | 29 Activités : navigation internet, cookie (URL, adresse ip de l'ordinateur, moment, actions effectués…) | Oui | |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
|
Méthode(s) de consentement | Les personnes indique leur nom et mail puis valide le formulaire pour accepter les CGU |
|
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Le formulaire présente un lien sur lequel personnes peuvent cliquer pour consulter les CGU en détail |
|
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | L'exercice des droits se fait via le prestataire, responsable du traitement |
|
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, car traitement automatisé |
|
Destinataires internes
N/A
Prestataires sous-traitants
N/A
Destinataires externes
N/A
Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | N/A | |
|
Sensibilité estimée et impacts potentiels en cas de violation ?
Ce traitement peut-il être perçu comme sensible ? | Non |
|
Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
|
Impact sur les personnes | Important |
|
Impact sur l'organisme | Négligeable |
|
Commentaires sur l'impact et la protection | Les données sont conservées sur une plateforme sécurisée hébergé dans un datacenter. Seule le prestataire a accès ou les services de police en cas d'enquête |
|
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation | Contenu | Type | Commentaires |
---|
Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesures organisationnelles | L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
|
Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesures physiques | "centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données |
Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesures technologiques | |