1/ Dispositions générales
1.1 Préambule
Le Règlement (EU) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après RGPD) fixe le cadre juridique applicable aux traitements de données à caractère personnel. Le RGPD renforce les droits et les obligations des responsables de traitements, des sous-traitants, des personnes concernées et des destinataires des données.
Par la suite, et pour implémenter les modifications du RGPD, la loi n°78-17 du 6 janvier 1978 dite Informatique et libertés a fait l’objet d’une modification par la loi n°2018-493 du 20 juin 2018 par l’ordonnance n°2018-1125 du 12 décembre 2018 relative à la protection des données.
La règlementation applicable à la protection des données à caractère personnel s’entend ainsi des textes suivants :
– Le RGPD,
– La loi Informatique et libertés à jour des textes précités,
– Les recommandations de la Cnil.
Pour une bonne compréhension de la présente politique il est précisé que :
– Le « responsable du traitement » s’entend de la personne physique ou morale qui détermine les finalités et moyens d’un traitement de données à caractère personnel. Au titre de la présente politique, le responsable du traitement est CARNIVAL,
– Les « personnes concernées » sont les personnes qui peuvent être identifiées, directement ou indirectement, par référence aux données à caractère personnel qui font l’objet d’une collecte par le responsable du traitement, c’est-à-dire, dans le cadre de la présente politique, l’ensemble des interlocuteurs de CARNIVAL rattachés à ses clients et prospects quel que soit leur statut (salariés ou dirigeants).
L’article 12 du RGPD impose que les personnes concernées soient informées de leurs droits de manière concise, transparente, compréhensible et aisément accessible.
1.2 Définitions
– « Donnée à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (Personne Concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, économique, culturelle ou sociale,
– « Traitement de données à caractère personnel » : toute opération ou ensemble d’opérations effectués ou non à l’aide de procédés automatisés et appliqués à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction,
– « Violation de données à caractère personnel » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
1.3 Objet
Pour satisfaire à son bon fonctionnement, CARNIVAL est tenue de mettre en œuvre des traitements de données à caractère personnel.
La présente politique a pour objet de satisfaire à notre obligation d’information et de rappeler les droits dont disposent nos interlocuteurs auprès de nos clients, prospects et partenaires s’agissant du traitement de leurs données à caractère personnel.
1.4 Principes généraux
Aucun traitement n’est mis en œuvre par CARNIVAL concernant des données vous concernant s’il ne porte pas sur des données à caractère personnel collectées par ou pour ses services ou traitées en relation avec ses services et s’il ne répond pas aux principes généraux du RGPD.
2/ Identification des traitements
2.1 Catégories de données collectées et origine des données
Les données sont essentiellement collectées directement auprès des clients et prospects de CARNIVAL.
En conséquence, nous ne collectons et n’utilisons que les données nécessaires à la conclusion ou l’exécution de contrats avec notre entreprise, à savoir :
– Identité du ou des clients et prospects,
– Coordonnées personnelles du ou des clients et prospects (ex : email, adresse postale, numéro de téléphone fixe ou mobile),
2.2 Finalités des traitements
– Facturation, paiement et comptabilité : nous traitons les données de nos clients et prospects dans le cadre de la facturation et du paiement des commandes effectuées,
– Gestion de la relation clients et prospects : nous traitons les données de nos clients et prospects afin de communiquer avec eux dans le cadre de questions qu’ils seraient susceptibles de poser à l’occasion de l’exécution en cours ou future d’une commande auprès de CARNIVAL,
– Gestion de l’annuaire de nos clients et prospects : nous tenons à jour un annuaire de nos clients et prospects,
– Organisation d’évènements : nous traitons les données de nos clients et prospects lorsque nous les invitons à des évènements que nous organisons ou co-organisons,
– Envoi de newsletters : nous traitons les données de nos clients et prospects lorsque nous communiquons auprès d’eux par l’envoi de communications par email,
– Réalisation de statistiques : nous pouvons être amenés à réaliser des statistiques sur la base des données personnelles de nos clients et prospects.
2.3 Durées de conservation
Nous définissons la durée de conservation des données de nos clients et prospects au regard des contraintes légales et contractuelles qui pèsent sur nous et, à défaut, en fonction de nos besoins.
Par principe, les données relatives à nos clients et prospects doivent être conservées pendant le temps strictement nécessaire à la gestion de la relation commerciale. Plus précisément, nous nous engageons à respecter les durées de conservation suivantes :
- Données collectées à des fins commerciales : 10 ans à compter de l’exercice comptable
- Données collectées à des fins de prospection : 3 ans à compter de la collecte des données ou du dernier contact émanant du prospect
Les durées indiquées sont nécessairement prolongées pour la durée légale de prescription à titre de preuve en cas de litige. Dans cette dernière hypothèse, la durée de conservation est rallongée pour toute la durée du litige.
Passé les délais fixés, les données sont soit supprimées, soit conservées après avoir été anonymisées, notamment pour des raisons d’usages statistiques. Elles peuvent être conservées en cas de précontentieux et contentieux.
Il est rappelé que la suppression ou l’anonymisation sont des opérations irréversibles et que CARNIVAL n’est plus, par la suite, en mesure de les restaurer.
2.4 Destinataires des données
Les destinataires des données s’entendent des personnes physiques ou morales qui reçoivent communication des données à caractère personnel. Les destinataires des données peuvent donc être aussi bien des salariés de CARNIVAL que des personnes physiques ou morales extérieurs.
Nous veillons à ce que les données collectées et traitées dans le cadre de nos relations avec nos clients et prospects ne soient accessibles qu’à des destinataires internes et externes habilités, et notamment, aux destinataires suivants :
– Le personnel des services compétents habilité à gérer la relation avec nos clients et prospects,
– Le personnel des services supports, soit les services administratifs, les services logistiques et informatiques,
– Nos prestataires ou services supports (ex : prestataire informatique),
– Les autorités compétentes au cas où nous serions tenus de partager certaines données à des auxiliaires de justice, à des services chargés de procédures internes de contrôle, etc,
S’agissant des destinataires externes, nous vous informons que les données à caractère personnel de nos clients et prospects pourront ainsi être communiquées à certains de nos prestataires ou à toute autorité légalement habilitée à en connaître (autorités fiscales et sociales notamment). Dans ce cas, CARNIVAL n’est pas responsable des conditions dans lesquelles les personnels de ces autorités ont accès et exploitent les données.
3/ Gestion des droits des personnes
3.1 Droit d’accès et droit de copie
Nos clients et prospects disposent du droit de nous demander si nous traitons effectivement des données les concernant dans le cadre des contrats conclus avec ces derniers ou des messages de prospection que nous leur adressons.
Ils peuvent également nous demander que leur soit fournie une copie des données faisant l’objet d’un traitement.
Toutefois, en cas de demande de copies supplémentaires, nous pouvons exiger que nos clients et prospects prennent en charge le coût que représenterait cette nouvelle copie.
Si les demandes de nos clients et prospects sont effectuées par voie électronique, les informations demandées seront fournies sous une forme électronique d’usage courante, sauf demande contraire.
Nos clients et prospects sont informés que ce droit d’accès ne peut pas porter sur des informations ou données confidentielles ou encore pour lesquelles la loi n’autorise pas la communication.
Le droit d’accès ne doit pas être exercé de manière abusive c’est-à-dire réalisé de manière régulière dans le seul but de déstabiliser la bonne exécution de nos services.
3.2 Droit de rectification
Nos clients et prospects disposent du droit de nous demander de rectifier certaines données qui seraient obsolètes ou erronées.
3.3 Droit d’opposition
Les clients et prospects disposent du droit de s’opposer à toute prospection commerciale par voie postale, téléphonique ou électronique, y compris au profilage dans la mesure où il est lié à une telle prospection.
Au cas particulier de la prospection par voie électronique, il sera à tout moment possible pour les clients et prospects de s’opposer à une telle prospection en cliquant sur le lien se trouvant dans l’e-mail d’envoi. Par SMS, il est possible de s’opposer à toute prospection en envoyant « stop » au numéro figurant dans le message reçu.
3.4 Exercice des droits de nos interlocuteurs
Pour pouvoir exercer leurs droits, nos clients et prospects doivent nous contacter soit par écrit soit par voie postale soit par email aux adresses suivantes :
CARNIVAL – DPO
31 avenue Mercure
31130 Quint-Fonsegrive
Nous faisons notre possible pour répondre aux demandes dans un délai raisonnable et, au mieux, dans un délai d’un mois à compter de la réception de la demande.
Toutefois, dans le cas où le traitement des demandes s’avèrerait complexe ou que nous ferions face à un nombre élevé de demandes d’exercice de droits simultanément, le délai du traitement pourrait être porté à deux mois.
4/ Évolution
La présente politique peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la Cnil ou des usages.
Toute nouvelle version de la présente politique sera portée à la connaissance de nos clients et prospects par tout moyen que nous choisirons en ce compris la voie électronique (diffusion par courrier électronique ou en ligne par exemple).