1. PREAMBULE ET OBJET
Dans le cadre de la gestion du site internet accessible à l’adresse https://sfa.fr/ (le « Site »), Société Française d’Assainissement (SFA), responsable du traitement (« nous », « notre », « nos ») traite des données à caractère personnel des utilisateurs du Site (les « Personnes Concernées »).
Nous nous engageons à traiter les données à caractère personnel des Personnes Concernées en conformité avec la règlementation applicable, et notamment le Règlement n°2016/679 (UE) du 27 avril 2016 dit règlement général sur la protection des données (« RGPD »), la Loi Informatique et Libertés du 6 janvier 1978 dans sa version actualisée (« LIL ») (ensemble, la « Règlementation applicable »).
À ce titre, nous nous engageons à respecter notre obligation de transparence et d’information vis-à-vis des Personnes Concernées en mettant à leur disposition la présente politique de confidentialité, qui a pour objet de les informer sur les caractéristiques des traitements de données à caractère personnel que nous mettons en œuvre dans le cadre de l’utilisation du Site, et sur les droits dont ils sont investis à ce titre.
2. DEFINITIONS
Les termes commençant par une majuscule sont soit définis aux présentes, soit ont le sens qui leur est donné par la Règlementation applicable, et notamment le RGPD, tels que notamment les termes « Données à caractère personnel », « Traitement », « Personnes concernées », « Responsable de traitement », « Sous-traitant », « Destinataire » ou encore « Violation de données ».
3. CARACTERISTIQUES DES TRAITEMENTS
Les Traitements que nous mettons en œuvre à partir des Données des Personnes Concernées sont présentés dans les tableaux suivants.
3.1 Formulaire de contact
Finalité du Traitement | Gestion de contacts par et avec les Personnes Concernées |
Base juridique du Traitement | Intérêt légitime / Mesures précontractuelles |
Catégorie de Données à caractère personnel | - données professionnelles (catégorie de fonction) - département - données de contact (adresse email) - données de connexion (traces, logs) - toute autre donnée susceptible d’être communiquée par la Personne Concernée dans son message ou dans le(s) document(s) joint(s) |
Durée du Traitement | 1 an à compter de leur collecte 3 ans pour les données à caractère personnel relatives à un prospect, à compter de leur collecte ou du dernier contact émanant du prospect. |
3.2 Formulaire de création de compte
Finalité du Traitement | - Création compte personnel - Inscription optionnelle à la newsletter |
Base juridique du Traitement | Mesures précontractuelles / Intérêt légitime |
Catégorie de Données à caractère personnel | - données relatives à l’identité (nom, prénom, civilité) - données de contact (adresse email) - données de connexion (traces, logs) - date d’abonnement à la newsletter - statistiques liées au service de newsletter |
Durée du Traitement | 3 ans à compter de leur collecte ou du dernier contact émanant du client/prospect. Pour la newsletter, nous conservons l’adresse e-mail tant que la personne concernée ne se désinscrit pas (via le lien de désinscription intégré aux newsletters). |
3.3 Formulaire de candidature
Finalité du Traitement | - Gestion et suivi des candidatures - Convocation à des entretiens - Constitution d’une base de données de candidatures dans la limite de la durée ci-après |
Base juridique du Traitement | Mesures précontractuelles prises à la demande du candidat et susceptibles d’aboutir à la conclusion d’un contrat de travail et notre intérêt légitime concernant la constitution de la base de données. |
Catégorie de Données à caractère personnel | - données professionnelles (catégorie de fonction) - département - données de contact (adresse email) - données de connexion (traces, logs) - toute autre donnée susceptible d’être communiquée par la Personne Concernée dans son message ou dans le(s) document(s) joint(s) |
Durée du Traitement | 2 ans à compter du dernier contact avec le candidat non retenu |
3.4 Newsletter
Finalité du Traitement | - Gestion des envois électroniques : envoi aux Personnes Concernées d’informations sur l’entreprise, ses produits et les prestations réalisées - Gestion des abonnements - Elaboration de statistiques relatives au service |
Base juridique du Traitement | Intérêt légitime |
Catégorie de Données à caractère personnel | - données de contact (adresse email) ; - date d’abonnement ; - statistiques liées au service de newsletter |
Durée du Traitement | Nous conservons l’adresse e-mail tant que la personne concernée ne se désinscrit pas (via le lien de désinscription intégré aux newsletters). |
3.5 Formulaire extension de garantie
Finalité du Traitement | - Enregistrement de la garantie pour gagner jusqu’à 3 ans de garantie supplémentaire - Inscription optionnelle à la newsletter |
Base juridique du Traitement | Exécution d’un contrat |
Catégorie de Données à caractère personnel | - données relatives à l’identité (nom, prénom) - données de contact (adresse email, téléphone, adresse postale) - données relatives à l’installeur - données de connexion (traces, logs) - données relatives au produit acheté - date d’abonnement à la newsletter - statistiques liées au service de newsletter |
Durée du Traitement | 3 ans à compter de leur collecte ou du dernier contact avec le client. Pour la newsletter : Nous conservons l’adresse e-mail tant que la personne concernée ne se désinscrit pas (via le lien de désinscription intégré aux newsletters). |
3.6 Dépôt de cookies
Pour de plus amples informations sur le traitement de vos données dans le cadre du dépôt de cookies et autres traceurs, veuillez-vous reporter à notre Politique Cookies.
3.7 Gestion des éventuels litiges, contentieux et précontentieux
Finalité du Traitement | - Ménagement de preuves dans le cadre d’un éventuel litige - Gestion des échanges dans le cadre d’un éventuel litige - Rédaction des documents nécessaires en cas de contentieux ou précontentieux. |
Base juridique du Traitement | Intérêt légitime |
Catégorie de Données à caractère personnel | L’ensemble des Données susmentionnées dès lors qu’elles s’avèrent nécessaires à la gestion du litige. |
Durée du Traitement | Conservation jusqu’à épuisement des voies de recours (contentieux). |
4. DESTINATAIRES DES DONNEES A CARACTERE PERSONNEL
Nous sommes susceptibles de communiquer les Données à caractère personnel des Personnes Concernées à des Destinataires autorisés et soumis à une obligation appropriée de confidentialité, qui peuvent être internes ou externes selon les cas :
Les destinataires internes sont les suivants :
o Les membres de notre personnel dont les attributions, fonctions et missions justifient qu’ils traitent les Données à caractère personnel des Personnes Concernées (e.g. service communication, service marketing, service relation client et prospect, service informatique) pour les seules finalités prévues par la présente Politique de confidentialité et dans le cadre des mesures techniques et organisationnelles que nous mettons en œuvre pour préserver la confidentialité et la sécurité des Données à caractère personnel détaillées ci-après ;
Les destinataires externes sont quant à eux :
o Les filiales du Groupe SFA et la maison mère en leur qualité de sous-traitants dont les attributions, fonctions et missions justifient qu’ils traitent les Données à caractère personnel des Personnes Concernées (e.g. SFA Tech en charge de services informatiques au niveau du Groupe).
o Les prestataires de services ou Sous-traitants auxquels nous sommes susceptibles de recourir dans le cadre des Traitements (e.g. prestataire d’hébergement, call centers, emailing) ;
o Les entités chargées du conseil, de l’audit et du contrôle financier (commissaire aux comptes, avocat) ;
o Les autorités administratives ou judiciaires dans le cadre de leurs attributions ;
o En cas de projet de levée de fonds, d’acquisition ou de cession d’une activité ou d’actifs par quelque moyen que ce soit y compris par cession de l’entreprise exerçant cette activité ou possédant ces actifs, le ou les acquéreurs potentiels et leurs conseils dans le cadre d’un audit précédent l’opération. En cas d’acquisition par un tiers, les Données à caractère personnel feront partie des actifs transférés et seront à ce titre traitées par l’acquéreur qui agira en qualité de nouveau Responsable de traitement en vertu de sa propre politique de confidentialité.
5. DROITS DES PERSONNES CONCERNEES
5.1 Énoncé des droits
Conformément à la Règlementation applicable, les Personnes Concernées sont investies des droits suivants s’agissant de leurs données à caractère personnel :
Un droit de nous demander confirmation que des données les concernant sont traitées, d’obtenir des informations sur les caractéristiques de ces Traitements, d’accéder à ces données et d’en demander une copie (droit d’accès et de copie) ;
Un droit de faire rectifier ou de compléter toute donnée les concernant qui serait erronée ou obsolète (droit de rectification) ;
Un droit de retirer leur consentement à tout moment à la condition que le Traitement concerné soit exclusivement fondé sur cette base légale (droit au retrait du consentement) ;
Un droit de s’opposer au Traitement de leur Données à caractère personnel pour des raisons tenant à leur situation particulière et d’obtenir leur effacement, auquel cas nous ferons droit à cette demande sauf si le Traitement est justifié par des motifs légitimes et impérieux (droit d’opposition pour motif légitime et droit à l’effacement) ;
Un droit d’obtenir la limitation du Traitement temporairement en cas de demande de rectification ou d’opposition pour motif légitime le temps que nous analysons la demande, ce qui signifie en pratique que les Données à caractère personnel sont conservées, mais que nous ne pouvons pas les traiter (droit à la limitation) ;
Un droit à la portabilité de Données, c’est-à-dire un droit d’obtenir de notre part la restitution des Données à caractère personnel qu’elles ont communiquées dans un format d’usage courant dès lors que le Traitement est automatisé et fondé sur le consentement ou sur l’exécution d’un contrat ;
Un droit de formuler des directives relatives au Traitement de leurs données après leur décès et de nous demander de conserver, effacer ou communiquer leurs données à un tiers expressément désigné, étant précisé que dès lors que nous avons connaissance du décès d’une Personne Concernée et à défaut d’instructions de sa part, elle s’engage à détruire ses Données à caractère personnel, sauf si leur conservation s’avère nécessaire à des fins probatoires ou pour répondre à une obligation légale (droit post mortem).
5.2 Modalités d’exercice des droits
Lorsque la Personne Concernée souhaite exercer l’un des droits précités, elle peut nous contacter via le formulaire de la page contact.
La demande de la Personne Concernée doit émaner de cette dernière exclusivement (sauf mandat donné à un tiers en bonne et due forme) et être la plus claire et exhaustive possible afin de nous permettre d’y répondre dans les meilleurs délais, compris entre un et trois mois selon son niveau de complexité.
Nous pourrons éventuellement demander à la Personne Concernée de compléter sa demande si elle n'est pas suffisamment précise, si le droit qu’elle souhaite exercer n’est pas facilement identifiable ou si elle ne parvient pas à établir son identité, auquel cas nous pouvons être amenés à lui demander de fournir des informations complémentaires et notamment un justificatif d’identité, qui serait supprimé dans les plus brefs délais après vérification de son identité.
En outre, nous ne serons pas tenus de répondre à la demande de la Personne Concernée si elle présente un manifestement infondé ou excessif, et notamment si elle formule des demandes répétitives ou trop complexes à traiter qui auraient pour objet ou pour effet de déstabiliser nos activités.
6. SECURITE
Nous mettons en œuvre les mesures techniques et organisationnelles de sécurité appropriées pour préserver la confidentialité et la sécurité des Données à caractère personnel que nous traitons et lutter contre leur destruction, perte, altération ou divulgation non autorisées.
À titre, d’exemple, les mesures suivantes ont été mises en place et sont documentées dans un plan d’assurance sécurité :
- Hébergement des Données à caractère personnel sur des serveurs situés au sein de l’Union européenne sur le sol d’un pays membre ;
- Sensibilisation de notre personnel amené à traiter les Données des Personnes Concernées ;
- Dispositifs d’authentification des utilisateurs avec accès personnel et sécurisé via des identifiants et mots de passe robustes, confidentiels et fréquemment modifiés ;
- Procédure de gestion des habilitations (définition et revue des profils d’habilitations selon le profil des utilisateurs de son système d’information, suppression des accès obsolètes) ;
- Dispositifs de traçage des accès, journalisation des connexions, gestion des incidents et le cas échéant chiffrement de certaines Données à caractère personnel ;
- Mise en œuvre régulière d’audits internes et le cas échéant tests de pénétration différenciés permettant de contrôler et évaluer l’efficacité des mesures de sécurité mises en place ;
- Sécurisation physique des locaux (codes, clés et badges d’accès) et des postes de travail (verrouillage automatique des sessions, antivirus et pare-feu).
Lorsque nous recourons à des sous-traitants, soit des prestataires à qui nous avons délégué tout ou partie d’un Traitement et qui traitent les Données à caractère personnel des Personnes Concernées conformément à nos instructions, nous nous engageons à leur demander des garanties de sécurité équivalentes à celles que nous mettons en œuvre pour protéger leurs Données à caractère personnel et se réserve le droit de procéder à un audit auprès d’eux afin de s’assurer du respect de leurs obligations.
En cas de Violation de données, nous nous engageons à notifier la Cnil dans les conditions prescrites par la Réglementation applicable et, si ladite Violation fait peser un risque élevé sur les Personnes Concernées, à les en aviser et à leur communiquer le cas échant les informations et recommandations nécessaires.
7. MISE A JOUR DE LA PRESENTE POLITIQUE
Nous sommes susceptibles de modifier, compléter ou mettre à jour à tout moment la présente politique pour tenir compte d’une évolution légale, règlementaire et/ou jurisprudentielle, d’une modification des caractéristiques des Traitements ou de la mise en œuvre d’un nouveau Traitement.
8. CONTACTS
Les Personnes Concernées peuvent nous adresser toute question ou réclamation relative à la présente politique ou lui faire part de recommandations ou de commentaires relatifs à cette dernière par écrit aux coordonnées suivantes :
- Par courrier : 41bis Avenue Bosquet - 75007 PARIS
- Par email : [email protected]
Les Personnes Concernées peuvent également poser toute question à la Cnil ou introduire une plainte auprès de cette dernière.