Détail du registre des traitements RGPD :
Activité générale de l'organisme

Description du traitement

Désignation	Activité générale de l'organisme
Finalité(s)	objet(s) (cf statuts ou site internet)

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1a (consentement)	la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
RGPD	ROOT Article 6-1b (mesures précontractuelles)	le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée
Droit français	Conditions générales de vente	Informations contractuelles liant un vendeur de produits ou de services à son acheteur
Droit français	Statuts de société	Définition juridique de l’ensemble des règles qui régissent l'organisation de l'entreprise, les rapports entre les actionnaires et également les rapports à l’égard des tiers

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
Selon référentiels RGPD (données à caractère personnel)	01 Bases actives	Suppression	Les durées de conservation des données sont régies par les différents réglements et à défaut par la loi Informatique et Libertés du 17 juin 2019 comportant les dispositions relatives aux « marges de manœuvre nationales » autorisées par le Règlement général sur la protection des données (RGPD)
Selon référentiels RGPD (données à caractère personnel)	03 Archives intermédiaires	Archivage	L'entreprise stocke des documents et fichiers en archive essentiellement pour répondre à ses obligations légales en matière comptable, fiscale et gestion du personnel
5 à 10 ans (données comptables, fiscales, RH)	04 Archives longues	Suppression	Art 3171-16

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
01 Tout Public	01 Identifiants	Oui
02 Internautes	01 Identifiants	Oui
10 Prospects	01 Identifiants	Oui
10 Prospects	01 Identifiants : état civil (nom, prénom, civilité)	Oui
11 Clients	20 Données d'activités	Oui (Art 9)
13 Fournisseurs, partenaires, cotraitants	20 Données d'activités	Oui (Art 9)
20 Employés de l'organisme	70 Données RH	Oui (Art 9)

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Explicite
Méthode(s) de consentement	L'organisme recueille le consentement des personnes chaque fois que nécessaire
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Via le site organisme.com, rubrique "Mentions légales" ainsi que des informations spécifiques lors de chaque traitement
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	Les personnes peuvent exercer leurs droits en s'adressant à la direction ou au DPO, par téléphone ou mail, en se rendant dans les locaux de l'organisme ou via le site internet rubrique "Données personnelles". Pour tout recours, elles peuvent s'adresser à la CNIL
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Lorsque la récupération des données traitées par l'organisme est prévue, des procédures spécifiques à chaque traitement sont mises en œuvre : envoi des données par l'organisme, récupération au fil de l'eau lors d'échanges de documents ou conversations, ou bien à travers un compte utilisateur par exemple

Destinataires internes

Désignation	Commentaires
Employés
Sous-traitants	Equipes et sous traitants chargés de la maintenance

Prestataires sous-traitants

N/A

Destinataires externes

Destinataires	Motif d'envoi d'informations	Commentaires
Administrations et organismes d'état	06 Obligation légale
Organismes bancaires et financiers	03 Relation contractuelle
Fournisseurs	03 Relation contractuelle

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Limité
Impact sur l'organisme	Important
Commentaires sur l'impact et la protection	L'organisme sous-traite le déploiement et l'entretien de son système d'information à un prestataire professionnel qui maintient contractuellement le système opérationnel et supervise "en temps réel" l'utilisation des matériels et applications de l'organisme

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Politique de Protection des Données clients, prospects, contacts	Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits	Mesures organisationnelles
DPO désigné	Le Délégué à la Protection des Données (DPO) veille à la conformité de son organisme au regard de la réglementation applicable en matière de protection des données personnelles	Mesures organisationnelles
Protection physique des accès aux locaux et aux postes informatiques	Alarmes, serrures et autres contrôles physiques permettant de conditionner l’accès aux locaux, aux ordinateurs et aux équipements	Mesures physiques
Réseau : protection & supervision des usages	Pare-feu d'un niveau professionnel protégeant le réseau par filtrage et par supervision des ports d'entrée sortie des flux	Mesures technologiques
Matériels informatiques : supervision du parc reliée au centre de maintenance	Solution de monitoring système ou réseau permettant la transmission d'une alerte au service de maintenance en cas de panne ou d'anomalie	Mesures technologiques

Détail du registre des traitements RGPD :
Edition du site internet

Description du traitement

Désignation	Edition du site internet
Finalité(s)	- permettre la présentation de l'organisme, ses activités et la consultation de son catalogue produits - proposer un formulaire de contact et l'achat en ligne - mesurer l'audience (nbre de visites, de pages vues activité des visiteurs, ...) pour adapter nos offres et nos présentations - recueillir des informations sur les centres d’intérêt au travers des produits consultés sur notre site et collecter des données de navigation afin de personnaliser l’offre publicitaire qui vous est adressée sur et en dehors du site

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1a (consentement)	la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
Droit français	Site internet	Mentions obligatoires sur un site : service-public.fr, F31228
Règlement européen	Cookies et traceurs	Consentement selon Réglementation Européenne sur les cookies et autres traceurs, article 5(3) de la directive 2002/58/CE	la CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement.

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
13 mois (Cookies et traceurs)	01 Bases actives	Suppression	à l'issue de la période ou en cas de retrait du consentement, l'internaute est invité à donner à nouveau son consentement ;

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
02 Internautes	09 Identifiants : adresse ip, terminal utilisé, id d'authentification, source	Non
02 Internautes	14 Identifiants : ID unique de publicité (internet, cookie third party)	Oui (Art 9)
02 Internautes	29 Activités : navigation internet, cookie (URL, adresse ip de l'ordinateur, moment, actions effectués…)	Non

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Explicite
Méthode(s) de consentement	Le bandeau cookies apparait dès que l'utilisateur arrive sur le site et il doit choisir "accepter tout" , "refuser" ou "gérer les préférences"
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Lorsque le bandeau est affiché, en cliquant sur "Paramètre des cookies", l'internaute visualise les catégories de cookies.
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	Soit en cliquant sur "autoriser tous les cookies", soit sur "Paramètre des cookies" depuis le bandeau qui s'affiche en avant-plan à la première visite, puis en raccourci lors des visites suivantes. "un bouton glissant" permet d'activer ou de de désactiver le suivi
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Destinataires internes

N/A

Prestataires sous-traitants

Désignation	Type de tiers	Site Web	Courriel	Commentaires
Google Ads	z Fournisseur de données

Destinataires externes

Destinataires	Motif d'envoi d'informations	Commentaires
Google Ads	05 Echange de données contre service

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	Hors U.E.

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Négligeable
Impact sur l'organisme	Négligeable
Commentaires sur l'impact et la protection	Les données anonymisée ne nécessitent pas de mesures particulières. L'utilisation des cookies tiers sont strictement encadrées et font l'objet d'un consentement

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Politique de Confidentialité des Cookies	Elle s’impose aux responsables du ou des traitements qui déposent des traceurs soumis au consentement en application de l’article 82 de la loi Informatique et Libertés	Mesures organisationnelles
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesures physiques	"centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données
Outil de gestion des cookies	Les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs, tandis que d’autres sont dispensés du recueil de ce consentement	Mesures technologiques
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesures technologiques	chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements

Détail du registre des traitements RGPD :
Activités de Social Selling

Description du traitement

Désignation	Activités de Social Selling
Finalité(s)	- Acquisition d'informations sur les utilisateurs de réseaux sociaux - Emissions de messages ciblés vers des abonnées (réseaux sociaux, forums) - Echanges en ligne, publications dans des forums, chat live

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1f (intérêts légitimes)	Le traitement (commercial, sécurité des biens, etc.) est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.	Le traitement de DCP à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime, tout comme la prévention de la fraude. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions.
Référentiel	Prospection numérique	CNIL Maitrisez votre relation client CNIL Thématique, la prospection commerciale

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
Tant que la personne n'a pas retiré son consentement	01 Bases actives	Suppression	et qu'elle reste abonnées au réseau social concerné

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
03 La personne enregistrée	03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..)	Oui
03 La personne enregistrée	21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...)	Oui
03 La personne enregistrée	25 Activités : activités sur les réseaux sociaux (posts, forums...)	Oui (Art 9)

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Consentement préalable détenu par un tiers
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Par les réseaux sociaux : au moment de l'inscription de la personne, les conditions d'utilisation des réseaux sont affichées et doivent être acceptées.
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	Les réseaux sociaux disposent de tableaux de bord permettant aux personnes de paramétrer leur préférences de communication et de publicité
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Les réseaux sociaux disposent de procédures de portabilité et de gestionnaires du sort des données

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	Hors U.E. USA

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Négligeable
Impact sur l'organisme	Négligeable
Commentaires sur l'impact et la protection	Les comptes dédiés à ce traitement sont détenus par les personnes habilités ; dès lors que la personne concernée effectue une demande concernant ses achats, une conversation privée est initiée

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Moyens d'accès (compte, clés) dédiés à cette seule ressource	Permet le cloisonnement des informations et la traçabilité des actions.	Mesures organisationnelles	L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesures physiques	"centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesures technologiques	chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements
Flux chiffrés de bout en bout	Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne	Mesures technologiques

Détail du registre des traitements RGPD :
Activités marketing et de prospection auprès de prospects particuliers

Description du traitement

Désignation	Activités marketing et de prospection auprès de prospects particuliers
Finalité(s)	- Acquérir des bases de prospects par renseignements sur les profils de consommateurs ou achats réguliers de fichiers - Réaliser des actions de prospection commerciale et de marketing (e-mailing, phoning) - Organiser des jeux concours, parrainage, promotion, sondage - Envoyer des messages publicitaires par mail ou SMS

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1a (consentement)	la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
Référentiel	Prospection numérique	CNIL Maitrisez votre relation client CNIL Thématique, la prospection commerciale
Référentiel	Prospection physique et par voie postale	particuliers : biens et services analogues prospection des professionnels	CNIL La prospection commerciale CNIL referentiel-gestion-commerciale.pdf

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
6 mois (journaux et logs des outils informatiques et numériques)	01 Bases actives	Suppression

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
10 Prospects	01 Identifiants : état civil (nom, prénom, civilité)	Non
10 Prospects	02 Identifiants : domicile privé (adresse postale)	Non
10 Prospects	03 Identifiants : adresse de messagerie personnelle	Non
10 Prospects	03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..)	Non
10 Prospects	03 Identifiants : téléphone privé (portable, fixe)	Non
10 Prospects	24 Activités : habitudes, activités, présence à des événements…	Non
10 Prospects	24 Activités : profil d'acheteur, souhaits potentiels d'achat	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Consentement préalable obtenu lors d'un traitement connexe Consentement préalable détenu par un tiers
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	La personne a préalablement fournit un consentement. A chaque action marketing, une méthode (un lien, un email) est proposée pour permettre à la personne de refuser une prochaine communication en rapport avec la campagne
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	L'exercice des droits se fait soit via le prestataire si consentement détenu par un tiers, soit auprès du responsable du traitement pour la campagne considérée
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Non, car traitement automatisé

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Limité
Impact sur l'organisme	Important
Commentaires sur l'impact et la protection	Les approches marketing doivent tenir compte de l’importance grandissante de la protection de la vie privée et des lois qui la protège. Dans cette optique, nous privilégions des connexions personnelles et individualisées avec nos prospects ainsi qu'une communication transparente, loyale et adaptée. Par ailleurs, nous développons des outils permettant à la personne d'interagir facilement et directement sur ses données.afin d’établir la confiance avec les utilisateurs.

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Moyens d'accès (compte, clés) dédiés à cette seule ressource	Permet le cloisonnement des informations et la traçabilité des actions.	Mesures organisationnelles	L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
Politique de Protection des Données clients, prospects, contacts	Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits	Mesures organisationnelles
Pas de mesures physiques nécessaires	Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..)	Mesures physiques
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesures technologiques	chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements
Protection de la base de données par le chiffrement	Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement	Mesures technologiques

Détail du registre des traitements RGPD :
Activités marketing et de prospection auprès des clients particuliers et des professionnels

Description du traitement

Désignation	Activités marketing et de prospection auprès des clients particuliers et des professionnels
Finalité(s)	- Études marketing et génération de fichiers nominatifs client ciblés - Réaliser des actions commerciales ou marketing direct auprès des clients (campagnes téléphoniques, envoi de messages mail ou SMS, jeux concours, parrainage, promotion, sondage) - Émettre des messages de promotion vers des abonnées (réseaux sociaux, forums)

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1a (consentement)	la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
RGPD	Article 6-1b (contrat)	le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;	Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées.
Référentiel	Prospection numérique	CNIL Maitrisez votre relation client CNIL Thématique, la prospection commerciale
Référentiel	Prospection physique et par voie postale	particuliers : biens et services analogues prospection des professionnels	CNIL La prospection commerciale CNIL referentiel-gestion-commerciale.pdf

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
12 Clients particuliers (B to C)	01 Identifiants	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Consentement préalable obtenu lors d'un traitement connexe CGV
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Par la présente Politique de Protection de données rappelée dans les Conditions Générales de Vente, et dans les contrats le cas échéant
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	En s'adressant directement à son contact commercial ou à l'accueil, en remplissant le formulaire d'exercice des droits le cas échéant
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Non, pas de données susceptibles d'être transmises

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Limité
Impact sur l'organisme	Important
Commentaires sur l'impact et la protection	Les approches marketing évoluent pour tenir compte de l’importance grandissante de la protection de la vie privée et des lois qui la protège. Dans cette optique, nous privilégions des connexions personnelles et individualisées avec nos prospects ainsi qu'une communication transparente, loyale et adaptée. Par ailleurs, nous développons des outils permettant à la personne d'interagir facilement et directement sur ses données.afin d’établir la confiance avec les utilisateurs.

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Moyens d'accès (compte, clés) dédiés à cette seule ressource	Permet le cloisonnement des informations et la traçabilité des actions.	Mesures organisationnelles	L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
Politique de Protection des Données clients, prospects, contacts	Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits	Mesures organisationnelles
Pas de mesures physiques nécessaires	Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..)	Mesures physiques
Protection de la base de données par le chiffrement	Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement	Mesures technologiques

Détail du registre des traitements RGPD :
Envoi de newsletters

Description du traitement

Désignation	Envoi de newsletters
Finalité(s)	désignation de la newsletter, fréquence d'envoi

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1a (consentement)	la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
Droit français	Newsletter	article 32 de la Loi Informatique et Libertés ; article L34-5 du Code des postes et des communications électroniques

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
Tant que la personne n'a pas retiré son consentement	01 Bases actives	Suppression	Chaque envoi contient un lien de désabonnement en 1 clic. Celui-ci provoque l'effacement de la base d'envoi

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
05 Abonnés à une newsletter	01 Identifiants	Non
05 Abonnés à une newsletter	03 Identifiants : adresse de messagerie personnelle	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Explicite
Méthode(s) de consentement	La personne a donné son consentement par une case à cacher sur le formulaire internet d'abonnement
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	par une mention concernant les données personnelles sous le formulaire + un lien vers la présente Politique de Protection
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	Lors de chaque envoi d'une newsletter, la personne peut se désabonner d'un simple clic grâce à un lien situé au pied du courrier
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

Destinataires	Motif d'envoi d'informations	Commentaires
	03 Relation contractuelle	Éditeur du logiciel e-mailing en mode SaaS

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Négligeable
Impact sur l'organisme	Limité
Commentaires sur l'impact et la protection	Les abonnées à une newsletter s'apparentent à un fichier prospect/clients et doit être protégé comme tel

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Moyens d'accès (compte, clés) dédiés à cette seule ressource	Permet le cloisonnement des informations et la traçabilité des actions.	Mesures organisationnelles	L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesures physiques	"centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données

Détail du registre des traitements RGPD :
Jeux concours

Description du traitement

Désignation	Jeux concours
Finalité(s)	- Organiser des loteries ou toute opération promotionnelle à l'exclusion des jeux d'argent et de hasard en ligne soumis à l'agrément de l'Autorité de Régulation des Jeux en Ligne - Faire gagner des lots aux participants - Promotionner les activités de l'organisme

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1a (consentement)	la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
Droit français	Jeux concours	Loi du 21 mai 1836, Modifié par LOI n°2014-1545 du 20 décembre 2014 - art. 54 CNIL organisation-de-jeux-concours-que-faire

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
13 mois (Cookies et traceurs)	01 Bases actives	Suppression	3 ans après la date du jeu concours, sauf refus de la personne

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
03 La personne enregistrée	01 Identifiants : état civil (nom, prénom, civilité)	Oui
03 La personne enregistrée	02 Identifiants : domicile privé (adresse postale)	Non
03 La personne enregistrée	03 Identifiants : adresse de messagerie personnelle	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Explicite
Méthode(s) de consentement	En s'inscrivant au jeu, les personnes acceptent les conditions générales du jeu
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Les conditions sont portées à leur connaissance sur le billet concours et rappelées via la présente Politique de Confidentialité
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	Les personnes peuvent refuser le traitement de leur données au moment de la participation en le spécifiant au moment de l'inscription
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Négligeable
Impact sur l'organisme	Négligeable
Commentaires sur l'impact et la protection	Aux fins d'impartialité, la liste des participants doit être destinée uniquement aux personnes habilités par le règlement du jeu afin de garantir un strict respect de celui-ci.

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Non implémenté(e).

Détail du registre des traitements RGPD :
Gestion et suivi des demandes entrantes

Description du traitement

Désignation	Gestion et suivi des demandes entrantes
Finalité(s)	- Répondre aux demandes d'informations des tiers (prospects, clients, fournisseurs, ...) via le site (formulaire contact), mail, appel téléphonique ou lors des visites à l'accueil - effectuer et enregistrer des conversations (chat) en ligne - Répondre et conserver une copie des réponses - Transmettre aux destinataires, le cas échéant, suivre les réponses jusqu'à conclusion

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1f (intérêts légitimes)	Le traitement (commercial, sécurité des biens, etc.) est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.	Le traitement de DCP à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime, tout comme la prévention de la fraude. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions.
Droit français	Obligation générale d'information précontractuelle	Code de la consommation : L111-1 à L111-8
Droit français	Secret des correspondances privées	Principes s'appliquant aux échanges oraux ou écrits impliquant par leur contenu une certaine intimité (selon appréciation des juges, Code pénal, art 226-15, Directive européenne 97/66, 15/12/1997) Les correspondances professionnelles ne sont pas concernées	Il est interdit à toute autre personne que les destinataires, d’écouter, surveiller, intercepter, stocker, détourner, retarder ou divulguer les communications, sauf consentement préalable ou autorisation légale.

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
3 ans (données et échanges de prospection)	01 Bases actives	Suppression	réponses aux courriers et correspondances. Tant que les personnes restent abonnées pour les conversations en ligne sur les réseaux sociaux.
5 ans après l'échéance (données contractuelles)	03 Archives intermédiaires	Suppression	pour certains messages ou correspondances constituant des preuves (de décisions, de contrats...)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
03 La personne enregistrée	01 Identifiants : état civil (nom, prénom, civilité)	Oui
03 La personne enregistrée	02 Identifiants : domicile privé (adresse postale)	Non
03 La personne enregistrée	03 Identifiants : adresse de messagerie personnelle	Non
03 La personne enregistrée	03 Identifiants : téléphone privé (portable, fixe)	Non
03 La personne enregistrée	21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...)	Oui
03 La personne enregistrée	22 Activités : devis, propositions, essais, négociations	Non

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Traitement légitime ou pré-contractuel
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Les personnes sont informées par la présente politique de protection des données et par un message dans les mails "correspondance respectant les conditions de notre politique de protection des données"
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	La personne pourra s'adresser directement à la direction par tél, mail ou physiquement, ou bien remplir le formulaire de demande de droit disponible depuis le site internet.
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Non, la personne dispose déjà des données car elle est partie prenante des échanges

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

Destinataires	Motif d'envoi d'informations	Commentaires
Parties prenantes d'une correspondance	07 Autre

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Important
Impact sur l'organisme	Important
Commentaires sur l'impact et la protection	L'application du droit au maintien du caractère privé et secret des correspondances s'applique aux courriers postaux et aux courriers électroniques ; de plus leur divulgation à une personne non autorisée peut entrainer des désagréments ou des tensions. En conséquence, l'accès à l'historique des demandes est restreint et des messageries adaptées à chaque usage (service client, logistique, gestion, RH) ont été crées afin de cloisonner l'information.

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Transmission directe et orale de l'information	L'absence de stockage évite des mesures de protection	Mesures organisationnelles
Accès via un compte soumis à une politique de droits	Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées	Mesures organisationnelles	Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...)
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesures physiques	"centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données
Protection de la base de données par le chiffrement	Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement	Mesures technologiques

Détail du registre des traitements RGPD :
Gestion d'un CRM (fichier prospect/client)

Description du traitement

Désignation	Gestion d'un CRM (fichier prospect/client)
Finalité(s)	Enregistrer et partager avec les personnes habilitées : - les coordonnées des prospects & clients - l'historique des demandes et affaires, potentielles, en cours ou traitées - les actions commerciales menées (visites, phoning, mailing)

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1f (intérêts légitimes)	Le traitement (commercial, sécurité des biens, etc.) est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.	Le traitement de DCP à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime, tout comme la prévention de la fraude. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions.
Droit français	Code de la propriété intellectuelle	Le CPI protège le patrimoine de l'entreprise, et notamment ses bases de données (fichiers clients...) du fait de l'investissement nécessaire à constitution et leur tenue (Art 341-1)	Le code de la propriété intellectuelle est un document du droit français, créé par la loi nᵒ 92-597 du 1ᵉʳ juillet 1992 relative au code de la propriété intellectuelle, publié au Journal officiel du 3 juillet 1992.

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
3 ans (coordonnées prospects et clients)	01 Bases actives	Suppression	après le dernier échange ; une nouvelle demande de contact est alors effectuée
3 ans (données et échanges de prospection)	01 Bases actives	Suppression	concerne les devis et offres
10 ans (comptabilité, pièces justificatives clients, fournisseurs)	03 Archives intermédiaires	Suppression	données et documents concernant les ventes

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
11 Clients	01 Identifiants	Oui
11 Clients	23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix)	Oui
12 Clients particuliers (B to C)	02 Identifiants : domicile privé (adresse postale)	Oui
12 Clients particuliers (B to C)	03 Identifiants : adresse de messagerie personnelle	Oui
12 Clients particuliers (B to C)	03 Identifiants : téléphone privé (portable, fixe)	Oui
12 Clients professionnels (B to B)	01 Identifiants : état civil (nom, prénom, civilité)	Oui
12 Clients professionnels (B to B)	04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail)	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Consentement préalable obtenu lors d'un traitement connexe Traitement légitime ou pré-contractuel
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	La personne a été informée lors de la signature de la commande + elle pourra se référer à la présente politique de protection des données
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	La personne peut à tout moment demander une copie des informations qui la concerne via le formulaire d'exercice des droits
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Non, sauf demande expresse de la personne

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Limité
Impact sur l'organisme	Important
Commentaires sur l'impact et la protection	La protection du patrimoine de l'entreprise, et notamment du fichier client, est un souci permanent pour les responsables. Son contenu protégé par le code de la propriété intellectuelle (L-341-1 al.1er du CPI) du fait de l'investissement nécessaire à sa constitution et sa tenue

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Moyens d'accès (compte, clés) dédiés à cette seule ressource	Permet le cloisonnement des informations et la traçabilité des actions.	Mesures organisationnelles	L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
Isolation des données : utilisation de canaux dédiés	Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application	Mesures organisationnelles
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesures physiques	"centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données
Protection de la base de données par le chiffrement	Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement	Mesures technologiques

Détail du registre des traitements RGPD :
Prospection commerciale par une force de vente, gestion des offres

Description du traitement

Désignation	Prospection commerciale par une force de vente, gestion des offres
Finalité(s)	- prospecter des entreprises, des professionnels, des particuliers - Collecter des cahiers des charges techniques et financiers - Enregistrer les coordonnées des personnes - Élaborer des offres, les remettre via mails ou papiers - Négocier les propositions, suivre les objections - Saisir les commandes ou les refus - Suivre les livraisons ou les paiements - Établir des statistiques d'activités commerciales

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1b (mesures précontractuelles)	le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée
Droit français	Code de commerce	Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties
Droit français	Code de la consommation	Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges
Droit français	Conditions générales de vente	Informations contractuelles liant un vendeur de produits ou de services à son acheteur
Droit français	Obligation générale d'information précontractuelle	Code de la consommation : L111-1 à L111-8
Référentiel	Gestion des activités commerciales	Référentiel CNIL "Gestion Commerciale" : contrats, prospection, comptabilité, statistiques, enquêtes, sav

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
13 mois (Cookies et traceurs)	01 Bases actives	Suppression	Les données nécessaires à l'exécution du contrat sont conservées durant toute la durée de celui-ci plus 3 ans. Après 3 ans, les données de contact sont effacées et les factures archivées.* Les statistiques concernant l'activité sont anonymisées ; celles concernant la personne sont conservées 3 ans après sa dernière communication
mixte	03 Archives intermédiaires	Archivage	Les factures et documents de réservation sont conservés 10 ans après leur émission

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
10 Prospects	01 Identifiants : état civil (nom, prénom, civilité)	Oui
10 Prospects	02 Identifiants : domicile privé (adresse postale)	Oui
10 Prospects	03 Identifiants : adresse de messagerie personnelle	Non
10 Prospects	03 Identifiants : téléphone privé (portable, fixe)	Non
10 Prospects	10 Identifiants : signature (manuscrite, numérique)	Oui (Art 9)
10 Prospects	21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...)	Oui
10 Prospects	22 Activités : devis, propositions, essais, négociations	Oui
10 Prospects	23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements)	Oui
10 Prospects	23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours)	Oui
10 Prospects	23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix)	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Explicite
Méthode(s) de consentement	Les personnes signent un contrat et des annexes, permettant le recueil des données nécessaires à la vente
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Par les CGV et par les conditions particulières du contrat, rubrique "Données personnelles" ; par la présente Politique de Protection des Données
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	En s'adressant directement au service commercial concerné ; le cas échéant, à la direction de l'organisme, au Délégué à la Protection des Données via contact@organisme.com, ou en remplissant le formulaire des droits depuis le site internet
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Non, aucune donnée n'a lieu d'être portée, les personnes ayant reçu un duplicata du contrat et aucune donnée supplémentaire n'ayant été collectée lors de son exécution

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Limité
Impact sur l'organisme	Important
Commentaires sur l'impact et la protection	La protection des données contractuelles étant un élément important de la vente, l'organisme a pris des mesures de protection appropriées concernant l'accès aux données qu'il stocke ainsi qu'aux modalités de partage des informations

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Moyens d'accès (compte, clés) dédiés à cette seule ressource	Permet le cloisonnement des informations et la traçabilité des actions.	Mesures organisationnelles	L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
Isolation des données : configuration du partage de fichiers	Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers	Mesures organisationnelles
Accès via un compte soumis à une politique de droits	Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées	Mesures organisationnelles	Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...)
Destruction du support papier	Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation	Mesures physiques

Détail du registre des traitements RGPD :
E-commerce, vente sur internet via son propre site

Description du traitement

Désignation	E-commerce, vente sur internet via son propre site
Finalité(s)	- enregistrer des commandes depuis son site interne - collecter les informations de livraison - recevoir les paiements en ligne - stockage et archivage des coordonnées et échanges inhérents à la vente
Informations complémentaires	l'organisme, son service gestion (facturation), le service commercial (envoi d'information en rapport avec les achats) Les transporteurs ou la poste (informations de livraison)

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1b (contrat)	le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;	Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées.
RGPD	Article 6-1b (mesures précontractuelles)	le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée
Droit français	Code de la consommation	Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges
Droit français	Conditions générales de vente	Informations contractuelles liant un vendeur de produits ou de services à son acheteur
Droit français	Loi Hamon relative à la e-consommation	Loi no 2014-344 du 17 mars 2014 : meilleure information produits, droit de rétractation, de remboursement avec formulaires et délais, code de conduite du marchand
Droit français	Ventes e-commerce	Code de la consommation L111-L121-L221 pour les obligations et pratiques Code civil – articles 1125 à 1126 et 1127-4 pour les e-contrats	https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/E-commerce-regles-applicables-au-commerce-electronique

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
13 mois (Cookies et traceurs)	01 Bases actives	Suppression	Les données de réservation sont conservées 3 après l'achat ainsi que l'historique d'achat pour la personne ; des statistiques anonymes de vente sont effectuées
mixte	03 Archives intermédiaires	Archivage	Les données comptable et fiscales sont conservées 10 ans

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
11 Clients	01 Identifiants : état civil (nom, prénom, civilité)	Oui
11 Clients	02 Identifiants : domicile privé (adresse postale)	Oui
11 Clients	03 Identifiants : adresse de messagerie personnelle	Oui
11 Clients	03 Identifiants : téléphone privé (portable, fixe)	Non
11 Clients	21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...)	Non
11 Clients	23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours)	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Explicite
Méthode(s) de consentement	La vente est validée via le formulaire de commande internet ; les conditions générales de vente sont présentées et explicitement acceptées par l'internaute lorsqu'il finalise son achat ou sa réservation en cliquant sur le bouton "Finaliser"
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	L'internaute dispose d'un lien "conditions spécifique au produit ou au service vendu", d'un autre lien vers les "conditions générales de vente" et de la Présente Politique de Protection de données, dans lesquels il est informé du traitement de ses données
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	L'internaute peut envoyer un mail à contact@organisme.fr ou en remplir le formulaire "Exercice des droits" à la rubrique "Données personnelles" accessible depuis le site
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Les données collectées font l'objet d'une confirmation par mail ce qui vaut pour la portabilité. A la demande du client, l'organisme peut re-transmettre les données acquises, les éventuelles échanges commerciaux ou demandes de remboursement.

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

Destinataires	Motif d'envoi d'informations	Commentaires
Administrations et organismes d'état	06 Obligation légale	Sur demande, pour la lutte contre la fraude

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Limité
Impact sur l'organisme	Important
Commentaires sur l'impact et la protection	La protection des données contractuelles étant un élément essentiel pour la confiance des parties, l'organisme délègue auprès auprès d'une plateforme spécialisée le processus de commercialisation de ses produits. Le chiffrement du stockage et des flux garantit la protection des données de bout en bout.

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Isolation des données : utilisation de canaux dédiés	Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application	Mesures organisationnelles
Moyens d'accès (compte, clés) dédiés à cette seule ressource	Permet le cloisonnement des informations et la traçabilité des actions.	Mesures organisationnelles	L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesures physiques	"centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesures technologiques	chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements
Flux chiffrés de bout en bout	Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne	Mesures technologiques
Protection de la base de données par le chiffrement	Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement	Mesures technologiques

Détail du registre des traitements RGPD :
E-Commerce, vente sur internet via des places de marché (Amazon, CDiscount...)

Description du traitement

Désignation	E-Commerce, vente sur internet via des places de marché (Amazon, CDiscount...)
Finalité(s)	- Recevoir des commandes via des places de marché - Collecter des commandes - Recevoir les instructions de livraisons - Recevoir les paiements

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1c (obligation légale)	le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis
Droit français	Wifi public, loi du 23/01/2006	Code des postes et des communications électroniques, article L32 : obligation de déclaration ou de souscription auprès d'un opérateur wifi public (ARCEP)	Bornes installées en france sur data.gouv.fr/fr/datasets/bornes-wifi

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
03 La personne enregistrée	01 Identifiants	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Explicite
Méthode(s) de consentement
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Contrat avec les partenaires - CGV pour les clients
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	N/A
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Important
Impact sur l'organisme	Important
Commentaires sur l'impact et la protection	La protection des données contractuelles étant un élément essentiel pour la confiance des parties, l'organisme délègue auprès auprès d'une plateforme spécialisée le processus de commercialisation de ses produits. Le chiffrement du stockage et des flux garantit la protection des données de bout en bout.

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Moyens d'accès (compte, clés) dédiés à cette seule ressource	Permet le cloisonnement des informations et la traçabilité des actions.	Mesures organisationnelles	L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
Accès via un compte soumis à une politique de droits	Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées	Mesures organisationnelles	Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...)
Flux chiffrés de bout en bout	Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne	Mesures technologiques

Détail du registre des traitements RGPD :
E-commerce, vente sur internet en tant que place de marché

Description du traitement

Désignation	E-commerce, vente sur internet en tant que place de marché
Finalité(s)	- Être place de marché : enregistrer des commandes pour des partenaires, adhérents... - recueillir, partager & transmettre les éléments d'achats issues de commandes d'internautes pour le compte d'entreprises - recevoir des paiements en ligne

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1b (contrat)	le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;	Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées.
Droit français	Conditions générales de vente	Informations contractuelles liant un vendeur de produits ou de services à son acheteur
Droit français	Loi Hamon relative à la e-consommation	Loi no 2014-344 du 17 mars 2014 : meilleure information produits, droit de rétractation, de remboursement avec formulaires et délais, code de conduite du marchand
Droit français	Obligation générale d'information précontractuelle	Code de la consommation : L111-1 à L111-8
Droit français	Ventes e-commerce	Code de la consommation L111-L121-L221 pour les obligations et pratiques Code civil – articles 1125 à 1126 et 1127-4 pour les e-contrats	https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/E-commerce-regles-applicables-au-commerce-electronique

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
13 mois (Cookies et traceurs)	01 Bases actives	Suppression	l'année en cours, pour les données d'achat et de livraison, puis archivage 3 ans pour les coordonnées de l'acheteur, puis anonymisation
mixte	03 Archives intermédiaires	Archivage	10 ans, pour les documents de vente

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
11 Clients	01 Identifiants : état civil (nom, prénom, civilité)	Oui
11 Clients	02 Identifiants : domicile privé (adresse postale)	Oui
11 Clients	03 Identifiants : adresse de messagerie personnelle	Oui
11 Clients	03 Identifiants : téléphone privé (portable, fixe)	Non
11 Clients	21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...)	Non
11 Clients	23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours)	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Explicite
Méthode(s) de consentement	La personne concernée coche une case d'option lors du processus d'achat pour les CGU du site + une autre pour l'acceptation des CGV
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Par les pages "Conditions Générales de Vente" et "Données personnelles" du site d'achat
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	En faisant la demande par email à commande@organisme.fr ou en remplissant le formulaire d'exercice des droits - La personne concernée peut directement gérer ses informations de contact via son compte ; elle peut également choisir ses options de communication et supprimer celui-ci
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	La personne peut à tout moment faire la demande via le mail commande@organisme.fr

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

Destinataires	Motif d'envoi d'informations	Commentaires
Transporteurs	03 Relation contractuelle	Pour les livraisons
Administrations et organismes d'état	06 Obligation légale	Sur demande, pour la lutte contre la fraude

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Limité
Impact sur l'organisme	Important
Commentaires sur l'impact et la protection	La protection des données contractuelles étant un élément essentiel pour la confiance des parties, l'organisme délègue auprès auprès d'une plateforme spécialisée le processus de commercialisation des produits. Le chiffrement du stockage et des flux garantit la protection des données de bout en bout.

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Isolation des données : configuration du partage de fichiers	Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers	Mesures organisationnelles
Moyens d'accès (compte, clés) dédiés à cette seule ressource	Permet le cloisonnement des informations et la traçabilité des actions.	Mesures organisationnelles	L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesures physiques	"centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesures technologiques	chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements
Flux chiffrés de bout en bout	Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne	Mesures technologiques
Protection de la base de données par le chiffrement	Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement	Mesures technologiques

Détail du registre des traitements RGPD :
Vente en magasin

Description du traitement

Désignation	Vente en magasin
Finalité(s)	Vente d'articles en magasin - particuliers ou professionnels - sans collecte des données clientèle

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1a (consentement)	la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
Droit français	Code de la consommation	Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges
Droit français	Conditions générales de vente	Informations contractuelles liant un vendeur de produits ou de services à son acheteur

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
13 mois (Cookies et traceurs)	01 Bases actives	Suppression	Le temps de l'encaissement pour les durées de chèques et de CB
mixte	03 Archives intermédiaires	Archivage	3 ans pour les bordereau de remise

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
11 Clients	50 Economique et financière : carte bancaire (propriétaire, numéro, expiration)	Oui (Art 9)
11 Clients	51 Economique et financière : chèque, nom, adresse, banque, signature	Non

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Traitement légitime ou pré-contractuel
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Par les conditions générales de vente de l'organisme, quand elles existent et disponibles sur simple demande
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	En s'adressant à l’accueil, le cas échéant à la direction
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

Destinataires	Motif d'envoi d'informations	Commentaires
Organismes bancaires et financiers	06 Obligation légale	Dans le cas des paiements par chèque

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Négligeable
Impact sur l'organisme	Limité
Commentaires sur l'impact et la protection	Les ventes en magasin génèrent très peu de traitements de données hormis les moyens de paiement nominatifs. La gestion de la caisse est organisée en conséquence

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Non implémenté(e).

Détail du registre des traitements RGPD :
Administration des ventes : suivi des commandes et de leur exécution

Description du traitement

Désignation	Administration des ventes : suivi des commandes et de leur exécution
Finalité(s)	- Réception des commandes - Collecte et saisie des documents contractuels - Enregistrement des coordonnées de la clientèle - Transmission des ordres aux services techniques - Passation des commandes fournisseurs - Suivi de l'exécution des contrats - Saisie des éléments sur la base des commandes - Préparation à la facturation

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1b (contrat)	le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;	Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées.
Droit français	Conditions générales de vente	Informations contractuelles liant un vendeur de produits ou de services à son acheteur
Référentiel	Gestion des activités commerciales	Référentiel CNIL "Gestion Commerciale" : contrats, prospection, comptabilité, statistiques, enquêtes, sav

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
Tant que la comptabilité n'est pas clôturée (année fiscale)	01 Bases actives	Archivage	Devis, commandes, bons de livraison, bon de transport, de livraisons

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
11 Clients	01 Identifiants : état civil (nom, prénom, civilité)	Oui
11 Clients	02 Identifiants : domicile privé (adresse postale)	Oui
11 Clients	23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix)	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Traitement légitime ou pré-contractuel
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Via les CGV, que le client e-commerce valide spécifiquement ou pour un magasin, effectuer un achat emporte l'adhésion pleine, entière et sans réserve du Client aux CGV.
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	En s'adressant directement à l'entreprise ou en remplissant le formulaire d'exercice des droits (rubrique "Données personnelles" du site")
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A car traitement légitime

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Limité
Impact sur l'organisme	Important
Commentaires sur l'impact et la protection	Les activités commerciales (commandes, tarifs, marges) sont un élément clé du patrimoine de l'organisme. Des procédures spécifiques de cloisonnement et de protection sont mises en œuvre

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Accès via un compte soumis à une politique de droits	Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées	Mesures organisationnelles	Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...)
Données stockées dans un serveur à l'accès physique contrôlé	Protection des locaux et des accès	Mesures physiques
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesures physiques	"centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données
Stockage dans un contenant (pièce, armoire, tiroir) fermé à clé	L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder	Mesures physiques
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesures technologiques	chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements

Détail du registre des traitements RGPD :
Gérer des programmes de fidélité

Description du traitement

Désignation	Gérer des programmes de fidélité
Finalité(s)	- Carte de fidelité - Parrainage, bons cadeaux...

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	N/A
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	N/A
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	N/A
Impact sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Non implémenté(e).

Détail du registre des traitements RGPD :
Collecter des avis, recommandations, opinions

Description du traitement

Désignation	Collecter des avis, recommandations, opinions
Finalité(s)	- Collecter des questionnaires de satisfaction concernant les produits ou services proposés - Réaliser des enquêtes de satisfaction, des sondages et le suivi d'utilisation auprès des campeurs - Agréger des données nominatives ou non issues des enquêtes afin de construire des indicateurs concernant la satisfaction concernant nos services

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1a (consentement)	la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
Droit français	Avis en lignes	Décret n°2017-1436 du Code de la consommation Norme NF ISO 20488 encadrant les «avis en ligne» (date, expérience, critère, contreparties, contrôle, modification, rejet)

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
Tant que la personne n'a pas retiré son consentement	01 Bases actives	Suppression	Les avis sont conservés tant que les personnes n'ont pas retiré leur consentement ou tant que l'organisme ou le prestataire assure sa diffusion

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
03 La personne enregistrée	01 Identifiants : état civil (nom, prénom, civilité)	Non
03 La personne enregistrée	03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..)	Oui
03 La personne enregistrée	35 Opinions : date, avis, retour d'expérience, note	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Consentement préalable détenu par un tiers
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Pour les avis en ligne, les personnes ont consenti au Conditions Générales d’Utilisation prestataire permettant la publication de l'avis Pour les avis laissés au format papier, une mention sur le formulaire renvoie à la présente Politique de Protection
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	Les avis en ligne sont modifiables par les personnes dépositaires selon les CGU du prestataire. Leur publication peut être modéré par l'organisme Les avis laissés sur formulaires papier sont conservés
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Automatique, les personnes reçoivent une copie de leur avis

Destinataires internes

N/A

Prestataires sous-traitants

Désignation	Type de tiers	Site Web	Courriel	Commentaires
Réseaux sociaux	z Fournisseur de données

Destinataires externes

Destinataires	Motif d'envoi d'informations	Commentaires
Tout public	02 Copie pour information

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	Hors U.E.

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Limité
Impact sur l'organisme	Important
Commentaires sur l'impact et la protection	Concernant les personnes, les avis sont publics ; concernant l'organisme, l'accès à l'ensemble des avis et des réponses doit rester strictement réservé aux personnes habilitées

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Moyens d'accès (compte, clés) dédiés à cette seule ressource	Permet le cloisonnement des informations et la traçabilité des actions.	Mesures organisationnelles	L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesures physiques	"centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données

Détail du registre des traitements RGPD :
Execution du contrat de vente "nom_du_contrat "

Description du traitement

Désignation	Execution du contrat de vente "nom_du_contrat "
Finalité(s)	- délivrer les produits et services vendus - gestion des commandes et des livraisons jusqu'à la facturation

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1b (contrat)	le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;	Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées.

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
13 mois (Cookies et traceurs)	01 Bases actives	Suppression	Les données sont conservées tant que le contrat est en cours puis pendant l’exercice fiscal. 3 ans après le dernier échange, les coordonnées de contact sont effacés ou anonymisés
mixte	03 Archives intermédiaires	Archivage	Les éléments du contrats ainsi que les documents de facturation sont archivés pour une durée de 10 ans, puis effacés

Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	N/A
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	N/A
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	N/A
Impact sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Non implémenté(e).

Détail du registre des traitements RGPD :
Execution des contrats : logistique, livraisons et retours

Description du traitement

Désignation	Execution des contrats : logistique, livraisons et retours
Finalité(s)	- traitement des commandes clients - gestion des approvisionnements - expédition des marchandises - gestion des retours clients

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1b (contrat)	le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;	Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées.
Droit français	Code de la consommation	Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges
Droit français	Conditions générales de vente	Informations contractuelles liant un vendeur de produits ou de services à son acheteur

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
13 mois (Cookies et traceurs)	01 Bases actives	Suppression	Les données sont conservées tant que le contrat est en cours
mixte	03 Archives intermédiaires	Archivage	les coordonnées de contact ; à l'issue du contrat les données sont

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
12 Clients particuliers (B to C)	01 Identifiants	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	N/A
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	N/A
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	N/A
Impact sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Politique de Protection des Données clients, prospects, contacts	Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits	Mesures organisationnelles
Stockage dans un contenant (pièce, armoire, tiroir) fermé à clé	L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder	Mesures physiques
Anonymisation de la transaction	Une fois la transaction validée, les données sont anonymisées	Mesures technologiques

Détail du registre des traitements RGPD :
Execution des contrats : livraison et pose d'appareils

Description du traitement

Désignation	Execution des contrats : livraison et pose d'appareils
Finalité(s)	- Organiser les commandes et les livraisons des matériels par vente - Organiser les plannings quotidien, affecter les techniciens, les véhicules... - Échanger avec le client concernant l'installation - Effectuer la pose sur site - Récolter des PVs d’exécution

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1b (contrat)	le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;	Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées.
Droit français	Conditions générales de vente	Informations contractuelles liant un vendeur de produits ou de services à son acheteur
Référentiel	Gestion des activités commerciales	Référentiel CNIL "Gestion Commerciale" : contrats, prospection, comptabilité, statistiques, enquêtes, sav

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
Tant que le chantier est en cours	01 Bases actives	Restitution	données de commandes, articles, éléments techniques, délais de livraison, éléments nécessaires à la pose / au montage. Restitution à la direction

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
11 Clients	01 Identifiants : état civil (nom, prénom, civilité)	Oui
11 Clients	23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix)	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Consentement préalable obtenu lors d'un traitement connexe
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Informations délivrées lors de la commande (conditions du contrat, CGV)
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	En s'adressant directement à la direction ou en remplissant le formulaire d'exercice des droits
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Oui, une copie des informations de chantier sont remises au client à l'issue de l'installation

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	N/A
Impact sur l'organisme	N/A
Commentaires sur l'impact et la protection	Les éléments techniques (matériaux marques et modèles, délais d'installation, méthodes de pose...) sont des éléments intégrant la propriété intellectuelles de l'entreprise. Des procédures de confidentialité et de protection des données sont mises en œuvre sur le terrain

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Isolation des données : configuration du partage de fichiers	Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers	Mesures organisationnelles
Destruction du support papier	Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation	Mesures physiques
Stockage dans un contenant (pièce, armoire, tiroir) fermé à clé	L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder	Mesures physiques
Appareils fixes & mobiles : solution de protection renforcée	Pour chaque appareil connecté : antivirus , protection du compte, pare-feu et protection réseau, contrôle des applications et du navigateur, sécurité de l'appareil	Mesures technologiques

Détail du registre des traitements RGPD :
Execution des contrats : exécution technique de contrats de chantier

Description du traitement

Désignation	Execution des contrats : exécution technique de contrats de chantier
Finalité(s)	- Organiser les commandes et les livraisons des matériels par chantier - Organiser les plannings quotidien, affecter les techniciens et les véhicules - Échanger avec le client, organiser des réunions de chantier, récolter les PV d’exécution - Calculer les ratios de rentabilité par chantier

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1b (contrat)	le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;	Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées.
Droit français	Code de commerce	Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties
Référentiel	Facturation, paiements	service-public.fr N31384, F23208 Devis, mentions obligatoires sur une facture, conditions générales de vente entre professionnels (CGV) délais de paiement entre professionnels et pénalités de retard service-public.fr F31808 Facturation entre professionnels ou particulier	Code de commerce : L441-9 Les conditions et sanctions de la facturation
Référentiel	Gestion des activités commerciales	Référentiel CNIL "Gestion Commerciale" : contrats, prospection, comptabilité, statistiques, enquêtes, sav

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
12 Clients particuliers (B to C)	01 Identifiants	Oui
12 Clients professionnels (B to B)	01 Identifiants	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	N/A
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	N/A
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	N/A
Impact sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
PSSI mis en oeuvre	Plan de Sécurité des Systèmes d'Information : mesures de sécurité et de protection normalisées, régulièrement auditées et éprouvées	Mesures organisationnelles
Politique de Protection des Données clients, prospects, contacts	Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits	Mesures organisationnelles
Protection physique des accès aux locaux et aux postes informatiques	Alarmes, serrures et autres contrôles physiques permettant de conditionner l’accès aux locaux, aux ordinateurs et aux équipements	Mesures physiques
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesures technologiques	chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements

Détail du registre des traitements RGPD :
Execution des contrats : gestion de contrats d'entretien (maintenance, interventions SAV)

Description du traitement

Désignation	Execution des contrats : gestion de contrats d'entretien (maintenance, interventions SAV)
Finalité(s)	- Recevoir les appels de maintenance et planifier les interventions - Gérer les maintenances préventives et correctives et commander les pièces - Organiser les tournées des techniciens, réaliser, valider et clôturer les interventions sur site - Effectuer le suivi du renouvellement des contrats d'entretien

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	N/A
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	N/A
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	N/A
Impact sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Non implémenté(e).

Détail du registre des traitements RGPD :
Execution des contrats : production et usinage

Description du traitement

Désignation	Execution des contrats : production et usinage
Finalité(s)	- production & usinage

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1f (intérêts légitimes)	Le traitement (commercial, sécurité des biens, etc.) est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.	Le traitement de DCP à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime, tout comme la prévention de la fraude. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions.
Droit français	Code de commerce	Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
12 Clients particuliers (B to C)	01 Identifiants	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	N/A
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	N/A
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	N/A
Impact sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Non implémenté(e).

Détail du registre des traitements RGPD :
Execution des contrats : interventions SAV

Description du traitement

Désignation	Execution des contrats : interventions SAV
Finalité(s)	- Gestion de prestation de réparation et d'entretien

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1a (consentement)	la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
Droit français	Avis en lignes	Décret n°2017-1436 du Code de la consommation Norme NF ISO 20488 encadrant les «avis en ligne» (date, expérience, critère, contreparties, contrôle, modification, rejet)
Droit français	Code de la consommation	Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
03 La personne enregistrée	01 Identifiants	Oui
12 Clients particuliers (B to C)	01 Identifiants	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	N/A
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	N/A
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	N/A
Impact sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Politique de Protection des Données clients, prospects, contacts	Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits	Mesures organisationnelles
Protection physique des accès aux locaux et aux postes informatiques	Alarmes, serrures et autres contrôles physiques permettant de conditionner l’accès aux locaux, aux ordinateurs et aux équipements	Mesures physiques
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesures technologiques	chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements
Protection de la base de données par le chiffrement	Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement	Mesures technologiques

Détail du registre des traitements RGPD :
Gestion des garanties (légales, décennales)

Description du traitement

Désignation	Gestion des garanties (légales, décennales)
Finalité(s)	- stocker les garanties souscrites -

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Pas de base(s) légale(s)

Combien de temps conservons-nous vos données ?

Aucun de temps de conservation designé.

Quelles personnes et quelles données font l'objet de ce traitement ?

Aucune catégorie de personnes désignée

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	N/A
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	N/A
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	N/A
Impact sur l'organisme	N/A
Commentaires sur l'impact et la protection

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Non implémenté(e).

Détail du registre des traitements RGPD :
Statistiques clients

Description du traitement

Désignation	Statistiques clients
Finalité(s)	- Statistiques par client / historique vente - Etude marketing et génération de fichier nominatif client

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1f (intérêts légitimes)	Le traitement (commercial, sécurité des biens, etc.) est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.	Le traitement de DCP à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime, tout comme la prévention de la fraude. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions.
Référentiel	Gestion des activités commerciales	Référentiel CNIL "Gestion Commerciale" : contrats, prospection, comptabilité, statistiques, enquêtes, sav

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
13 mois (Cookies et traceurs)	01 Bases actives	Suppression	3 ans, pour les statistiques nominatives

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
11 Clients	01 Identifiants : état civil (nom, prénom, civilité)	Non
11 Clients	23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours)	Oui
11 Clients	23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix)	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Traitement légitime ou pré-contractuel
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	L'information est délivrée à la lecture des CGV et au travers de la présente politique de protection
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	En s'adressant directement à l'accueil, ou en remplissant le formulaire d'exercice des droist depuis le site internet
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A car traitement légitime

Destinataires internes

Désignation	Commentaires
01. Direction (1)
04. Comptabilité (3)

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Limité
Impact sur l'organisme	Important
Commentaires sur l'impact et la protection	Les statistiques de vente constituent des éléments de valeur pour la direction de l'entreprise

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Isolation des données : configuration du partage de fichiers	Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers	Mesures organisationnelles
Données stockées dans un serveur à l'accès physique contrôlé	Protection des locaux et des accès	Mesures physiques

Détail du registre des traitements RGPD :
Gestion des achats et des fichiers fournisseurs

Description du traitement

Désignation	Gestion des achats et des fichiers fournisseurs
Finalité(s)	- Effectuer les opérations administratives liées aux contrats, aux commandes, aux réceptions, aux factures, aux règlements - Entretenir une base fournisseurs (coordonnées, contacts, historiques d'achats, documentations) - Établir des statistiques financières et de chiffre d'affaires par fournisseur - Fournir des sélections de fournisseurs - Gérer l’exécution financière des dépenses de l'entreprise et le suivi de budgets hors dépense de personnel

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1b (contrat)	le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;	Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées.
Droit français	Code de commerce	Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties
Référentiel	Fichiers de fournisseurs	CNIL Norme DI 04 concernant les fichiers fournisseurs et la prospection commerciale

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
13 mois (Cookies et traceurs)	01 Bases actives	Suppression	1 an jusqu'à clôture de la comptabilité, puis procédure logicielle d'archivage annuelle
mixte	03 Archives intermédiaires	Archivage	10 ans, conformément aux codes des impôts pour tous les documents concernant les achats

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
13 Fournisseurs, partenaires, cotraitants	01 Identifiants : état civil (nom, prénom, civilité)	Oui
13 Fournisseurs, partenaires, cotraitants	04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail)	Oui
13 Fournisseurs, partenaires, cotraitants	23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix)	Oui
31 Prestataires, consultants	01 Identifiants : état civil (nom, prénom, civilité)	Oui
31 Prestataires, consultants	23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix)	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Obligation légale Respect des CGV
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	La conservation et les échanges de données sont régies par les Conditions Générales de Vente ou les Conditions Générales d'Utilisation ou les contrats et conventions spécifiques qui régissent les relations des parties
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	Les employés des tiers en contact avec l'organisme ne peuvent faire valoir l’exercice d'un droit que par l'intermédiaire de leur employeur. Les organismes mettent en œuvre des systèmes d'anonymisation lorsque le besoin s'en fait sentir.
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	non, sauf spécifications contraire entre les parties

Destinataires internes

Désignation	Commentaires
04. Comptabilité (3)

Prestataires sous-traitants

N/A

Destinataires externes

Destinataires	Motif d'envoi d'informations	Commentaires
Parties prenantes d'une correspondance	02 Copie pour information
Administrations et organismes d'état	06 Obligation légale	Déclarations fiscales et éléments comptables
Cabinet comptable, social, juridique	03 Relation contractuelle	Révision comptable

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Limité
Impact sur l'organisme	Important
Commentaires sur l'impact et la protection	La protection des fichiers fournisseurs, des prix et des volumes d'achat est une préoccupation importante de chaque organisme. L'accès est donc réservé aux seules personnes habilitées

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Accès via un compte soumis à une politique de droits	Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées	Mesures organisationnelles	Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...)
Isolation des données : configuration du partage de fichiers	Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers	Mesures organisationnelles
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesures physiques	"centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesures technologiques	chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements

Détail du registre des traitements RGPD :
Comptabilité, émission et suivi des paiements et de la trésorerie

Description du traitement

Désignation	Comptabilité, émission et suivi des paiements et de la trésorerie
Finalité(s)	- Encaisser les paiements clients, effectuer les relances - Émettre des paiements fournisseurs et tiers - Suivre les comptes bancaires, la trésorerie - Saisir la comptabilité générale : client, fournisseurs, employés - Déclarer les comptes auprès des services fiscaux, les publier

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1f (intérêts légitimes)	Le traitement (commercial, sécurité des biens, etc.) est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.	Le traitement de DCP à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime, tout comme la prévention de la fraude. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions.
Droit français	Comptabilité	Service Public, règles comptables CNIL, Délibération relative au traitement automatisé de la comptabilité générale
Référentiel	Délais de conservation et d'archivage des documents pour les entreprises	Une entreprise doit conserver tout document émis ou reçu dans l'exercice de son activité pendant une durée minimale. Ce délai varie selon la nature des papiers et les obligations légales. L'entreprise peut aussi archiver les documents plus longtemps, sauf s'ils contiennent des données personnelles. Pendant ce délai, l'administration peut mener des contrôles.
Référentiel	Gestion des impayés	CNIL referentiel-gestion-impayes.pdf

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
Tant que la comptabilité n'est pas clôturée (année fiscale)	01 Bases actives	Archivage	l'année en cours jusqu'à clôture de la comptabilité, pour les documents et fichiers, puis transfert aux archives
10 ans (comptabilité, pièces justificatives clients, fournisseurs)	03 Archives intermédiaires	Archivage
10 ans au moins (Comptes annuels (bilan, compte de résultat et annexes) / Comptes sociaux)	04 Archives longues	Suppression	à compter de la clôture de l’exercice considéré (Article L. 123-22)

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
11 Clients	04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail)	Non
11 Clients	23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements)	Oui
13 Fournisseurs, partenaires, cotraitants	04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail)	Non
13 Fournisseurs, partenaires, cotraitants	23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements)	Oui
20 Employés de l'organisme	76 Données RH : salaire, acomptes, coef. retenue à la source, domiciliation bancaire	Oui (Art 9)

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Traitement légitime ou pré-contractuel Obligation légale
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Pas d'information particulière autre que la Politique de Protection
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	Pas de droits particuliers sur ce traitement
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

Destinataires	Motif d'envoi d'informations	Commentaires
Cabinet comptable, social, juridique	03 Relation contractuelle	Contrôle de gestion
Administrations et organismes d'état	06 Obligation légale	Déclarations fiscales

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	France

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Oui
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Limité
Impact sur l'organisme	Important
Commentaires sur l'impact et la protection	Les données comptables sont confidentielles car elles contiennent des informations sensibles sur l'activité de l'organisme (CA des clients, CA des fournisseurs, marges, rémunérations des employés et dirigeants). L'organisme a mis en place des procédures physiques, organisationnelles et techniques pour protéger ses documents et logiciels comptables

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Moyens d'accès (compte, clés) dédiés à cette seule ressource	Permet le cloisonnement des informations et la traçabilité des actions.	Mesures organisationnelles	L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
Isolation des données : configuration du partage de fichiers	Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers	Mesures organisationnelles
Destruction du support papier	Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation	Mesures physiques
Données stockées dans un serveur à l'accès physique contrôlé	Protection des locaux et des accès	Mesures physiques
Stockage dans un contenant (pièce, armoire, tiroir) fermé à clé	L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder	Mesures physiques
Compte d'accès soumis à une politique de complexité	La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement	Mesures technologiques	chaque personnel dispose de son accès individuel au support de données, ce qui lui octroie des droits sur les traitements

Détail du registre des traitements RGPD :
Candidatures et recrutement

Description du traitement

Désignation	Candidatures et recrutement
Finalité(s)	- veille sur les candidatures, stockage des candidatures spontanés (entretien d'une CV-thèque) - constitution d'une CV-thèque - filtrage et communication à la direction et aux chefs de service - gestion des entretiens d'embauche

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1b (mesures précontractuelles)	le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée
Droit français	Code du travail : les droits du candidat	Le recruteur est fondé à demander au candidat tous les éléments permettant de vérifier sa qualification et ses antécédents professionnels mais il doit limiter ses investigations à cette sphère. Le candidat à un emploi est de son côté tenu de répondre de bonne foi aux questions qui lui sont légalement posées.
Référentiel	Recrutement	CNIL les-operations-de-recrutement

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
2 ans maximum après leur réception (candidatures, Cvs)	01 Bases actives	Suppression

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
22 Candidats à un emploi	01 Identifiants : état civil (nom, prénom, civilité)	Oui
22 Candidats à un emploi	02 Identifiants : domicile privé (adresse postale)	Non
22 Candidats à un emploi	03 Identifiants : adresse de messagerie personnelle	Non
22 Candidats à un emploi	03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..)	Non
22 Candidats à un emploi	03 Identifiants : téléphone privé (portable, fixe)	Non
22 Candidats à un emploi	15 Caractéristiques personnelles : date et lieu de naissance	Non
22 Candidats à un emploi	21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...)	Non
22 Candidats à un emploi	41 Situation et relations : profession, domaine d'activité, catégorie socio-professionnelle	Oui (Art 9)
22 Candidats à un emploi	70 Données RH : CV, diplômes, expériences, centres d'intérêts	Oui
22 Candidats à un emploi	75 Données RH : entretiens (dates, évaluateur, objectifs, appréciations)	Oui (Art 9)

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Traitement légitime ou pré-contractuel
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Les candidats reçoivent un email en réponse à leur demande qui indique un lien vers la Politique de Protection des Données
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	Ils peuvent agir sur leurs données via le formulaire d'exercice des droits
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	N/A : aucune donnée collectée ne nécessite une portabilité

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Oui
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Limité
Impact sur l'organisme	Limité
Commentaires sur l'impact et la protection	La gestion des candidatures revêt une certaine sensibilité dans la mesure où de nombreuses informations doivent être disponibles pour être étudiées. En conséquence, ce processus reste interne afin de conserver la confidentialité

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Isolation des données : configuration du partage de fichiers	Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers	Mesures organisationnelles
Accès via un compte soumis à une politique de droits	Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées	Mesures organisationnelles	Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...)
Stockage dans un contenant (pièce, armoire, tiroir) fermé à clé	L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder	Mesures physiques

Détail du registre des traitements RGPD :
Surveillance des locaux enregistrements vidéo

Description du traitement

Désignation	Surveillance des locaux enregistrements vidéo
Finalité(s)	- assurer la sécurité des biens et des personnes - prévenir le vol en dissuadant les personnes - en cas de constat, aider à la preuve

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1f (intérêts légitimes)	Le traitement (commercial, sécurité des biens, etc.) est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.	Le traitement de DCP à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime, tout comme la prévention de la fraude. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions.
Droit français	Code de la sécurité intérieure, vidéo surveillance	Code sécurité intérieure : Art L223-1, art. L251-1, L613-13, R223-2, R521-7, R253-3	Le Code de la sécurité intérieure ou CSI est, en droit français, un code juridique créé en 2012 pour regrouper l'ensemble des dispositions législatives et réglementaires ayant trait à la sécurité intérieure.
Droit français	Systèmes de videosurveillance	Arrêté du 3 août 2007 portant définition des normes techniques des systèmes de vidéosurveillance.
Référentiel	La vidéosurveillance-vidéoprotection au travail	RGPD Article 13 CNIL La vidéosurveillance-vidéoprotection au travail

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
13 mois (Cookies et traceurs)	01 Bases actives	Suppression	24 h à 3 mois selon les dispositifs puis effacement automatique
mixte	03 Archives intermédiaires	Archivage	tant que la procédure est en cours, pour la conservation de preuves dans le cas d'une plainte , puis effacement manuel

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
01 Tout Public	27 Activités : film (vidéo vidéoprotection, vidéo-surveillance)	Oui (Art 9)
20 Employés de l'organisme	27 Activités : film (vidéo vidéoprotection, vidéo-surveillance)	Oui (Art 9)

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Implicite
Comment les personnes concernées donnent-elles leur accord à ce traitement ?	Traitement légitime ou pré-contractuel
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Affichage légal : présence de xxx panneaux indiquant la vidéo surveillance, la durée de conservation des images, qui peut les consulter
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	Les panneaux indiquent les coordonnées du service à contacter pour exercer ses droits + l'existence du formulaire d'exercice des droits disponible sur le site
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Non (traitement légitime et automatisé)

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Limité
Impact sur l'organisme	Important
Commentaires sur l'impact et la protection	Si ces outils sont légitimes pour assurer la sécurité des biens et des personnes, ils ne peuvent pas conduire à placer les employés sous surveillance constante et permanente ; le visionnage est restreint aux seules personnes habilitées par l'organisme

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Moyens d'accès (compte, clés) dédiés à cette seule ressource	Permet le cloisonnement des informations et la traçabilité des actions.	Mesures organisationnelles	L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
Isolation des données : utilisation de canaux dédiés	Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application	Mesures organisationnelles
Protection physique des accès aux locaux et aux postes informatiques	Alarmes, serrures et autres contrôles physiques permettant de conditionner l’accès aux locaux, aux ordinateurs et aux équipements	Mesures physiques
Gardiennage des locaux		Mesures physiques
Accès aux données via une double authentification	L’authentification multifacteur est obligatoire : message texte envoyé à un téléphone, appel téléphonique, application ou clé d'authentification	Mesures technologiques

Détail du registre des traitements RGPD :
Wifi public

Description du traitement

Désignation	Wifi public
Finalité(s)	- Fournir du wifi au public - Répondre aux obligations légales en matière de wifi public (suivi des personnes connectés) - Filtrer de sites Internet illégaux ou présentant un risque pour l'organisme tels que les sites de pédophilie, xénophobie, piratage...

Sur quelles bases légales et réglementaires nous appuyons-nous ?

Type	Désignation	Contenu	Commentaires
RGPD	Article 6-1c (obligation légale)	le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis
Droit français	Wifi public, loi du 23/01/2006	Code des postes et des communications électroniques, article L32 : obligation de déclaration ou de souscription auprès d'un opérateur wifi public (ARCEP)	Bornes installées en france sur data.gouv.fr/fr/datasets/bornes-wifi
Référentiel	Wifi public, Hot Spot : obligations	CNIL conservation-des-donnees-de-trafic-hot-spots-wi-fi-cybercafes-employeurs-quelles-obligations	Conservation des données de trafic : hot-spots wi-fi, cybercafés, employeurs, quelles obligations ?

Combien de temps conservons-nous vos données ?

Précisez les durées de conservation et le devenir des DCP concernées par ce traitement	Type de stockage	Action en fn de période	Commentaires
13 mois (Cookies et traceurs)	01 Bases actives	Suppression	1 an, ensuite suppression automatique
mixte	03 Archives intermédiaires	Archivage	le temps de la procédure, en cas de litiges avec la justice.

Quelles personnes et quelles données font l'objet de ce traitement ?

Catégorie de personnes	Catégories de données	Sensibles	Commentaires
03 La personne enregistrée	03 Identifiants : adresse de messagerie personnelle	Oui
03 La personne enregistrée	09 Identifiants : adresse ip, terminal utilisé, id d'authentification, source	Oui
03 La personne enregistrée	29 Activités : navigation internet, cookie (URL, adresse ip de l'ordinateur, moment, actions effectués…)	Oui

Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?

Y a-t-il une procédure de consentement explicite (sinon : implicite)	Explicite
Méthode(s) de consentement	Les personnes indique leur nom et mail puis valide le formulaire pour accepter les CGU
Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …)	Le formulaire présente un lien sur lequel personnes peuvent cliquer pour consulter les CGU en détail
Comment la personne peut exercer ses droits de correction, de limitation, d'opposition	L'exercice des droits se fait via le prestataire, responsable du traitement
En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ?	Non, car traitement automatisé

Destinataires internes

N/A

Prestataires sous-traitants

N/A

Destinataires externes

N/A

Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E	N/A

Sensibilité estimée et impacts potentiels en cas de violation ?

Ce traitement peut-il être perçu comme sensible ?	Non
Ce traitement permet-il un profilage ? (RGPD, art 4)	Non
Impact sur les personnes	Important
Impact sur l'organisme	Négligeable
Commentaires sur l'impact et la protection	Les données sont conservées sur une plateforme sécurisée hébergé dans un datacenter. Seule le prestataire a accès ou les services de police en cas d'enquête

Quelles mesures de sécurité spécifiques avons-nous mise en place ?

Désignation	Contenu	Type	Commentaires
Moyens d'accès (compte, clés) dédiés à cette seule ressource	Permet le cloisonnement des informations et la traçabilité des actions.	Mesures organisationnelles	L'accès aux données se fait uniquement via un processus (compte, clé) dédié à cette seule ressource
Données stockées dans une infrastructure "Datacenter"	Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001	Mesures physiques	"centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données
Protection de la base de données par le chiffrement	Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement	Mesures technologiques