Organisme |
|
Représentant légal |
|
Délégué à la Protection des Données |
|
| Finalité(s) | L'Office de tourisme d'Anglet a pour objet d’informer l’internaute sur la diversité de l’offre touristique de la ville d'Anglet et départementale |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
| Référentiel | Statuts de société | Définition juridique de l’ensemble des règles qui régissent l'organisation de l'entreprise, les rapports entre les actionnaires et également les rapports à l’égard des tiers | |
| Référentiel | Statuts de l'EPIC | EPIC, Établissement Public à caractère Commercial qui assure la gestion d'une activité de service public. L'EPIC produit et commercialise des biens et services et se base sur le droit privé. |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| 01 Tout Public | 01 Identifiants | Non |
| 01 Tout Public | 20 Données d'activités | Oui |
| 10 Prospects | 01 Identifiants | Oui |
| 12 Clients particuliers (B to C) | 01 Identifiants | Non |
| 12 Clients professionnels (B to B) | 01 Identifiants | Oui |
| 12 Clients professionnels (B to B) | 20 Données d'activités | Oui |
| 20 Employés de l'organisme | 70 Données RH | Oui |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | Les durées de conservation des données sont régies par les différents réglements et à défaut par la loi Informatique et Libertés du 17 juin 2019 comportant les dispositions relatives aux « marges de manœuvre nationales » autorisées par le Règlement général sur la protection des données (RGPD) |
| mixte | -- | -- | L'office stocke des documents et fichiers en archive essentiellement pour répondre à ses obligations légales en matière comptable, fiscale et gestion du personnel |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | L'office recueille le consentement des personnes chaque fois que nécessaire |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | L'office diffuse les informations générales via son site site internet et les informations spécifiques lors de chaque traitement |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les personnes peuvent exercer leurs droits en s'adressant directement à la direction de l'office, à Mr Iriarte ou au DPO ; par téléphone, mail mesdroits@anglet-tourisme.com ou en se rendant dans les locaux de l'organisme. Pour tout recours, elles peuvent s'adresser à la CNIL |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Il n'y a pas de procédure automatique prévue pour la récupération des données traitées par notre organisme, celles-ci étant déjà récupérées le plus souvent au travers des documents échangés avec les personnes concernées. |
Acteurs internes
| Employés | |
| Sous-traitants |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | L'organisme sous traite le déploiement et l'entretien de son système d'information à un prestataire professionnel qui maintient contractuellement le système opérationnel et supervise "en temps réel" l'utilisation des matériels et applications de l'organisme |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesure organisationnelle | |
| Protection physique des accès aux locaux et aux postes informatiques | Alarmes, serrures et autres contrôles physiques permettant de conditionner l’accès aux locaux, aux ordinateurs et aux équipements | Mesure physique | |
| Matériels informatiques : supervision des usages | Solution de monitoring système ou réseau permettant la transmission d'une alerte au service de maintenance en cas de panne ou d'anomalie | Mesure technologique | |
| Réseau : protection & supervision des usages | Pare-feu d'un niveau professionnel protégeant le réseau par filtrage et par supervision des ports d'entrée sortie des flux | Mesure technologique | |
| DPO désigné | Le Délégué à la Protection des Données (DPO) veille à la conformité de son organisme au regard de la réglementation applicable en matière de protection des données personnelles | Mesure organisationnelle | |
| Charte d'utilisation des outils numériques | Charte rédigée à l'attention des employés accédant au système d'information, contraignante car attachée au règlement intérieur | Mesure organisationnelle |
2 - Activités de communication et de marketing
| Finalité(s) | - site vitrine permettant de présenter au grand public les attraits de la région, ses activités de loisirs et de culture - site catalogue présentant et proposant l'inscription aux activités culturelles, loisirs, détente - site catalogue présentant et proposant la réservation de logements, hôtels, camping, gîtes, chambres d'hôtes - proposer une mise en contact avec l'OT ; recueillir des informations statistiques sur la fréquentation et l'usage du site |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
| Règlement européen | Cookies et traceurs | Consentement selon Réglementation Européenne sur les cookies et autres traceurs, article 5(3) de la directive 2002/58/CE | la CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement. |
| Référentiel | Site internet | Mentions obligatoires sur un site, cf service-public.fr : F31228 |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| 02 Internautes | 09 Identifiants : adresse ip, terminal utilisé, id d'authentification, source | Oui |
| 02 Internautes | 14 Identifiants : ID unique de publicité (internet, cookie third party) | Non |
| 02 Internautes | 29 Activités : navigation internet, cookie (URL, adresse ip de l'ordinateur, moment, actions effectués…) | Non |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | Les données sont conservées 13 mois, puis détruites automatiquement ; l'internaute doit de nouveau donner son consentement ; |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | Le bandeau cookies apparait dès que l'utilisateur arrive sur le site et il doit choisir "accepter tout" , "refuser" ou "gérer les préférences" |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Lorsque le bandeau est affiché, en cliquant sur "Politique de confidentialité" ou sur "gérer les Préférences" : la personne peut visualiser sélectionner les catégories "marketing, essentiels, fonctionnels" et les services avec le nom explicite des annonceurs |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En cliquant sur "tout accepter", "tout refuser" ou "personnaliser" du bandeau cookies qui s'affiche en avant-plan à la première visite, puis en raccourci lors des visites suivantes. 'ajuster mes préférences en matière de cookies" permet d'activer ou de de désactiver le suivi |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, la portabilité n'est pas prévue, elle ne ne semble pas utile |
Acteurs internes
| 5. PROMOTION ET COMMUNICATION |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Désignation |
Motif |
Données concernées |
|---|---|---|
| Google Ads | 05 Pour information commerciale (produits/services identiques) |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | Hors U.E. |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Négligeable |
| Impact maximum sur l'organisme | Négligeable |
| Commentaires sur l'impact et la protection | Les données anonymisée ne nécessitent pas de mesures particulières. L'organisme conserve les données acquises dans son système d'information |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Politique de Confidentialité des Cookies | Elle s’impose aux responsables du ou des traitements qui déposent des traceurs soumis au consentement en application de l’article 82 de la loi Informatique et Libertés | Mesure organisationnelle | |
| Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesure physique | |
| Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
| Outil de gestion des cookies | Les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs, tandis que d’autres sont dispensés du recueil de ce consentement | Mesure technologique |
| Finalité(s) | - Acquisition d'informations sur les utilisateurs de réseaux sociaux - Emissions de messages ciblés vers des abonnées (réseaux sociaux, forums) - Echanges en ligne, publications dans des forums, chat live |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime (...plus de détails) est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. |
L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
| Référentiel | Prospection numérique | CNIL Maitrisez votre relation client CNIL Thématique, la prospection commerciale |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| 03 La personne enregistrée | 03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..) | Oui |
| 03 La personne enregistrée | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Oui |
| 03 La personne enregistrée | 25 Activités : activités sur les réseaux sociaux (posts, forums...) | Non |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | Les données détenues au sein du réseaux social sont conservées tant que la personne dispose de son compte et ne retire pas son consentement ; les données extraites aux fins de statistiques sont conservées 3 ans après leur acquisition. |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable détenu par un tiers au reseau social lui-meme |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par les réseaux sociaux au moment de l'inscription de la personne, les conditions d'utilisation des réseaux informent les personnes |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les réseaux sociaux disposent de tableaux de bord permettant aux personnes de paramétrer leur préférences de communication et de publicité |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Les réseaux disposent de procédures de portabilité et de gestionnaires du sort des données |
Acteurs internes
| 5. PROMOTION ET COMMUNICATION |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Désignation |
Motif |
Données concernées |
|---|---|---|
| Réseaux sociaux | 05 Pour information commerciale (produits/services identiques) |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France Hors U.E. |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Négligeable |
| Impact maximum sur l'organisme | Négligeable |
| Commentaires sur l'impact et la protection | Comptes dédiés à ce traitement détenu par les personnes habilités |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesure organisationnelle | |
| Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesure physique | |
| Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique |
| Finalité(s) | - Faire connaitre les activités de l'organisme au travers de jeux concours - loteries ou de toute opération promotionnelle à l'exclusion des jeux d'argent et de hasard en ligne soumis à l'agrément de l'Autorité de Régulation des Jeux en Ligne |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
| Référentiel | Jeux concours | Loi du 21 mai 1836, Modifié par LOI n°2014-1545 du 20 décembre 2014 - art. 54 CNIL organisation-de-jeux-concours-que-faire |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| 03 La personne enregistrée | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
| 03 La personne enregistrée | 02 Identifiants : domicile privé (adresse postale) | Non |
| 03 La personne enregistrée | 03 Identifiants : adresse de messagerie personnelle | Oui |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | pour la durée du jeu concours |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | En acceptant l'inscription au jeu, les personnes acceptent les conditions générales du jeu |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Les conditions sont portées à leur connaissance via la présente Politique de Confidentialité et rappelée sur le billet concours |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les personnes peuvent refuser le traitement de leur données au moment de la participation en le spécifiant au moment de l'inscription |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non |
Acteurs internes
| 5. PROMOTION ET COMMUNICATION |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Désignation |
Motif |
Données concernées |
|---|---|---|
| Faire Savoir | 04 Statistiques en rapport avec la finalité | date des concours, participants, gagnants |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Limité |
| Commentaires sur l'impact et la protection | Aux fins d'impartialité, la liste des participants doit être destinée uniquement aux personnes habilités par le règlement du jeu afin de garantir un strict respect de celui-ci. |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle | |
| Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesure organisationnelle | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application |
| Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
| Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesure technologique |
| Finalité(s) | Newsletter de l'OT Anglet |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
| Référentiel | Newsletter | article 32 de la Loi Informatique et Libertés ; article L34-5 du Code des postes et des communications électroniques |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| 05 Abonnés à une newsletter | 01 Identifiants : état civil (nom, prénom, civilité) | Non |
| 05 Abonnés à une newsletter | 03 Identifiants : adresse de messagerie personnelle | Oui |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | Les données sont conservées tant que la personne n'a pas retiré son consentement initial. |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | En transmettant ses données et en validant le formulaire internet, la personne donne son consentement |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | par une mention concernant les données personnelles sous le formulaire + un lien vers la présente Politique de Protection |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Lors de chaque envoi d'une newsletter, la personne peut se désabonner d'un simple clic grâce à un lien situé au pied du courrier |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Acteurs internes
| 5. PROMOTION ET COMMUNICATION |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Négligeable |
| Impact maximum sur l'organisme | Limité |
| Commentaires sur l'impact et la protection | Les abonnées à une newsletter s'apparentent à un fichier prospect/clients et doit être protégé comme tel |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesure organisationnelle | |
| Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesure physique |
4 - Vente à distance
| Finalité(s) | - Vente en ligne de billets de théâtre, de concerts et spectacles |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Référentiel | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges | |
| Référentiel | Loi Hamon relative à la e-consommation | Loi no 2014-344 du 17 mars 2014 : meilleure information produits, droit de rétractation, de remboursement avec formulaires et délais, code de conduite du marchand | |
| Référentiel | Obligation générale d'information précontractuelle | Code de la consommation : L111-1 à L111-8 | |
| Référentiel | Ventes e-commerce | Code de la consommation L111-L121-L221 pour les obligations et pratiques Code civil – articles 1125 à 1126 et 1127-4 pour les e-contrats | https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/E-commerce-regles-applicables-au-commerce-electronique |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| 11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
| 11 Clients | 02 Identifiants : domicile privé (adresse postale) | Non |
| 11 Clients | 03 Identifiants : adresse de messagerie personnelle | Oui |
| 11 Clients | 03 Identifiants : téléphone privé (portable, fixe) | Non |
| 11 Clients | 23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) | Oui |
| 11 Clients | 23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui |
| 11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | 3 ans, pour les données de réservation ainsi que l'historique d'achat pour la personne ; des statistiques anonymes de vente sont effectuées |
| mixte | -- | -- | 10 ans, pour les données comptable et fiscales |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | La vente est validée via le formulaire internet ; les conditions générales de vente sont présentées et explicitement acceptées par l'internaute lorsqu 'il valide son achat ou sa réservation en cliquant sur le bouton "Finaliser" |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | L'internaute dispose du lien "voir les conditions spécifique du produit ou service vendu" + un autre lien vers les "conditions générales de vente de l'OT." et de la Présente Politique de Protection de données, dans lesquels il est informé du traitement de ses données |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | L'internaute doit se tourner en premier lieu vers le prestataire ; le cas échéant vers l'office en envoyant un mail à l'accueil ou en remplissant le formulaire "Exercice des droits" à la rubrique "Données personnelles" accessible depuis le site |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Les données collectées font l'objet d'une confirmation par mail ce qui vaut pour la portabilité. A la demande du client, l'Office peut re-transmettre les données acquises, les éventuelles échanges commerciaux ou demandes de remboursement. |
Acteurs internes
| 5. PROMOTION ET COMMUNICATION |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Désignation |
Motif |
Données concernées |
|---|---|---|
| Banques ou autres organismes financiers | 04 Statistiques en rapport avec la finalité | Gestion des paiements en ligne |
| Prestataire de service ayant signé une convention avec l'OT | 04 Statistiques en rapport avec la finalité | Transmission des éléments de vente |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Oui |
| L'analyse ou la prédiction est-elle suivi d'un processus de décision entièrement automatisé (sans intervention humaine) ? Si oui précisez lequel. | non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément essentiel pour la confiance des parties, l'organisme délègue auprès auprès de plateformes dédiées le processus de commercialisation des billets. Le chiffrement du stockage et des flux garantit la protection des données de bout en bout. |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle | |
| Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesure organisationnelle | |
| Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesure physique | |
| Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
| Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesure technologique | |
| Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
| Finalité(s) | - Activités de loisir, de sports - Réservation de visites - location de vélos - Vente en ligne de prestations des partenaires |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
| Référentiel | Loi Hamon relative à la e-consommation | Loi no 2014-344 du 17 mars 2014 : meilleure information produits, droit de rétractation, de remboursement avec formulaires et délais, code de conduite du marchand | |
| Référentiel | Ventes e-commerce | Code de la consommation L111-L121-L221 pour les obligations et pratiques Code civil – articles 1125 à 1126 et 1127-4 pour les e-contrats | https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/E-commerce-regles-applicables-au-commerce-electronique |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| 11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
| 11 Clients | 02 Identifiants : domicile privé (adresse postale) | Non |
| 11 Clients | 03 Identifiants : adresse de messagerie personnelle | Oui |
| 11 Clients | 03 Identifiants : téléphone privé (portable, fixe) | Oui |
| 11 Clients | 23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) | Oui |
| 11 Clients | 23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui |
| 11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
| 11 Clients | 51 Economique et financière, carte bancaire : titulaire, numéro, date d'expiration, cryptogramme visuel | Oui |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | Les données de réservation sont conservées 3 après l'achat ainsi que l'historique d'achat pour la personne ; des statistiques anonymes de vente sont effectuées |
| mixte | -- | -- | Les données comptable et fiscales sont conservées 10 ans |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | La vente est validée via le formulaire internet ; les conditions générales de vente sont présentées et explicitement acceptées par l'internaute lorsqu 'il valide son achat ou sa réservation en cliquant sur le bouton "Finaliser" |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | L'internaute dispose du lien "voir les conditions spécifique du produit ou service vendu" + un autre lien vers les "conditions générales de vente de l'OT." et de la Présente Politique de Protection de données, dans lesquels il est informé du traitement de ses données |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | L'internaute doit se tourner en premier lieu vers le prestataire ; le cas échéant vers l'office en envoyant un mail à l'accueil ou en remplissant le formulaire "Exercice des droits" à la rubrique "Données personnelles" accessible depuis le site |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Les données collectées font l'objet d'une confirmation par mail ce qui vaut pour la portabilité. A la demande du client, l'Office peut re-transmettre les données acquises, les éventuelles échanges commerciaux ou demandes de remboursement. |
Acteurs internes
| 4. MARKETING & DEV COMMERCIAL |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Désignation |
Motif |
Données concernées |
|---|---|---|
| Prestataire de service ayant signé une convention avec l'OT | 04 Statistiques en rapport avec la finalité | Lorsque l'office ne réalise pas la prestation |
| Banques ou autres organismes financiers | 04 Statistiques en rapport avec la finalité |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Oui |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Oui |
| L'analyse ou la prédiction est-elle suivi d'un processus de décision entièrement automatisé (sans intervention humaine) ? Si oui précisez lequel. | non |
| Impact maximum sur les personnes concernées | Important |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément essentiel pour la confiance des parties, l'OT sous-traite auprès d'un prestataire spécialisé la commercialisation des produits, qui chiffre les informations de bout en bout et garantit la protection des données |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesure organisationnelle | |
| Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle | |
| Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesure physique | |
| Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique | |
| Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesure technologique | |
| Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique |
| Finalité(s) | - Proposer des prestations (formations, audits) aux professionnels du tourisme (fournisseur de logement, prestataires...) - Être place de marché pour ceux-ci : recueillir, partager & transmettre les DCP issues des demandes des touristes depuis l'accueil ou le site de l'OT |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Référentiel | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges | |
| Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
| Référentiel | Loi Hamon relative à la e-consommation | Loi no 2014-344 du 17 mars 2014 : meilleure information produits, droit de rétractation, de remboursement avec formulaires et délais, code de conduite du marchand | |
| Référentiel | Ventes e-commerce | Code de la consommation L111-L121-L221 pour les obligations et pratiques Code civil – articles 1125 à 1126 et 1127-4 pour les e-contrats | https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/E-commerce-regles-applicables-au-commerce-electronique |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| 11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
| 11 Clients | 02 Identifiants : domicile privé (adresse postale) | Oui |
| 11 Clients | 03 Identifiants : adresse de messagerie personnelle | Oui |
| 11 Clients | 03 Identifiants : téléphone privé (portable, fixe) | Non |
| 11 Clients | 23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) | Oui |
| 11 Clients | 23 Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui |
| 11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
| 11 Clients | 51 Economique et financière, carte bancaire : titulaire, numéro, date d'expiration, cryptogramme visuel | Oui |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | 3 ans, pour les données de réservation ainsi que l'historique d'achat pour la personne ; des statistiques anonymes de vente sont effectuées |
| mixte | -- | -- | 10 ans, pour les données comptable et fiscales |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | La vente est validée via le formulaire internet ; les conditions générales de vente sont présentées et explicitement acceptées par l'internaute lorsqu 'il valide son achat ou sa réservation en cliquant sur le bouton "Finaliser" |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | L'internaute dispose du lien "voir les conditions spécifique du produit ou service vendu" + un autre lien vers les "conditions générales de vente de l'OT." et de la Présente Politique de Protection de données, dans lesquels il est informé du traitement de ses données |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | L'internaute doit se tourner en premier lieu vers le prestataire ; le cas échéant vers l'office en envoyant un mail à l'accueil ou en remplissant le formulaire "Exercice des droits" à la rubrique "Données personnelles" accessible depuis le site |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Les données collectées font l'objet d'une confirmation par mail ce qui vaut pour la portabilité. A la demande du client, l'Office peut re-transmettre les données acquises, les éventuelles échanges commerciaux ou demandes de remboursement. |
Acteurs internes
| 5. PROMOTION ET COMMUNICATION | |
| 3. ACCUEIL |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Désignation |
Motif |
Données concernées |
|---|---|---|
| Banques ou autres organismes financiers | 04 Statistiques en rapport avec la finalité | Gestion des paiements en ligne |
| Prestataire de service ayant signé une convention avec l'OT | 04 Statistiques en rapport avec la finalité | Transmission des éléments de vente |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Important |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément essentiel pour la confiance des parties, l'OT sous-traite auprès d'un prestataire spécialisé la commercialisation des produits, qui chiffre les informations de bout en bout et garantit la protection des données |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle | |
| Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesure organisationnelle | |
| Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesure physique | |
| Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
| Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesure technologique | |
| Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
5 - Ventes en présentiel
| Finalité(s) | - vendre d'articles (revues, visites libres, divers prestations) - vendre d'activités délivrées par des prestataires externes (prestation guide, détente...) sans inscription à l'accueil |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
| Référentiel | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges | |
| Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| 11 Clients | 51 Economique et financière : chèque, nom, adresse, banque, signature | Non |
| 11 Clients | 51 Economique et financière, carte bancaire : titulaire, numéro, date d'expiration, cryptogramme visuel | Non |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | Pas de durée car pas de données collectées |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par les conditions générales de vente de l'OT, disponibles sur simple demande |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant à l’accueil, le cas échéant à la direction |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Acteurs internes
| 3. ACCUEIL |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Désignation |
Motif |
Données concernées |
|---|---|---|
| Banques ou autres organismes financiers | 03 Information du législateur | Dans le cas des paiements par chèque |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Négligeable |
| Impact maximum sur l'organisme | Limité |
| Commentaires sur l'impact et la protection | Les ventes en magasin génèrent très peu de traitements de données hormis les moyens de paiement nominatifs. Les chèques sont conservés dans une caisse physiquement protégés jusqu'à remise ; les informations CB sont chiffrées et stockées sur des serveurs sécurisés par l'intermédiaire de paiement |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Protection physique des moyens de paiement (chèques) | Mesure organisationnelle |
| Finalité(s) | - renseigner les personnes sur les disponibilités - élaborer et transmettre et des devis - enregistrer les coordonnées des clients - saisir les réservations - partager les informations avec les - suivre la location et les paiements - établir des statistiques d'activités commerciales |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Référentiel | Gestion des activités commerciales | Référentiel CNIL "Gestion Commerciale" : contrats, prospection, comptabilité, statistiques, enquêtes, sav | |
| Référentiel | Code de commerce | Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| 11 Clients | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
| 11 Clients | 02 Identifiants : domicile privé (adresse postale) | Oui |
| 11 Clients | 03 Identifiants : adresse de messagerie personnelle | Oui |
| 11 Clients | 03 Identifiants : téléphone privé (portable, fixe) | Oui |
| 11 Clients | 10 Identifiants : signature (manuscrite, numérique) | Oui |
| 11 Clients | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Oui |
| 11 Clients | 22 Activités : devis, propositions, essais, négociations | Oui |
| 11 Clients | 23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) | Oui |
| 11 Clients | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | durée du contrat + 3 ans pour les données nécessaires à l'exécution du contrat, puis transfert en archives Les statistiques concernant l'activité sont anonymisées ; |
| mixte | -- | -- | 10 ans pour les commandes, livraisons et factures issues du contrat |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | Les personnes signent un contrat de location des locaux, permettant le recueil des données nécessaires à la prestation |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par les CGV "espace de l'Océan"et par les conditions particulières du contrat, rubrique "Données personnelles" ; par la présente Politique de Protection des Données |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant directement au service "espace de l'Océan", à la direction de l'OT ou au Délégué à la Protection des Données le cas échéant via contact@anglet-tourisme.com ou en remplissant le formulaire des droits depuis le site internet |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, aucune donnée n'a lieu d'être portée, les personnes ayant reçu un duplicata du contrat et aucune donnée supplémentaire n'ayant été collectée lors de son exécution |
Acteurs internes
| 7. ESPACE DE L'OCEAN |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Désignation |
Motif |
Données concernées |
|---|---|---|
| Services d’animation de la ville d’Anglet | 04 Statistiques en rapport avec la finalité | |
| Faire Savoir | 04 Statistiques en rapport avec la finalité | Vers Tourinsoft, la bases de données touristique régionale |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Limité |
| Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément important du contrat, l'OT a pris des mesures de protection appropriées concernant l'accès aux données qu'il stocke ainsi qu'aux modalités de partage des informations |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesure organisationnelle | |
| Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
| Destruction du support papier | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesure physique | |
| Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique |
| Finalité(s) | - Formaliser et diagnostiquer les besoins ou problèmes de prospects ou clients, conseiller, élaborer des offres - Remettre les offres, les suivre jusqu'à la décision finale, suivre l’exécution de la vente le cas échéant |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Référentiel | Code de commerce | Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties | |
| Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur | |
| Référentiel | Gestion des activités commerciales | Référentiel CNIL "Gestion Commerciale" : contrats, prospection, comptabilité, statistiques, enquêtes, sav | |
| Référentiel | Obligation générale d'information précontractuelle | Code de la consommation : L111-1 à L111-8 |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| 11 professionnels adhérents, partenaires commerciaux | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
| 11 professionnels adhérents, partenaires commerciaux | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Oui |
| 11 professionnels adhérents, partenaires commerciaux | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Oui |
| 11 professionnels adhérents, partenaires commerciaux | 21 Activités : visite, rendez-vous (moment, interlocuteurs, lieu, contenu…) | Oui |
| 11 professionnels adhérents, partenaires commerciaux | 22 Activités : devis, propositions, essais, négociations | Oui |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | 3 ans, pour les données nécessaires à l'exécution du contrat, puis transfert en archivage Les statistiques concernant l'activité sont anonymisées |
| mixte | -- | -- | 10 ans après leur émission pour les factures et documents de réservation |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | La vente est validée souvent par mail; les conditions générales de vente sont mentionnées et acceptées par la personne lorsqu'elle valide son achat ou sa réservation |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Établissement d'un contrat de vente soumis aux CGV |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | En s'adressant directement à son contact commercial, à l'accueil ou en remplissant le formulaire d'exercice des droits le cas échéant |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, pas de données susceptibles d'être transmises |
Acteurs internes
| 5. PROMOTION ET COMMUNICATION |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Désignation |
Motif |
Données concernées |
|---|---|---|
| Prestataire de service ayant signé une convention avec l'OT | 04 Statistiques en rapport avec la finalité | Informations du service acheté |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément important de la vente, l'organisme a pris des mesures de protection appropriées concernant l'accès aux données qu'il stocke ainsi qu'aux modalités de partage des informations |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Accès via un compte soumis à une politique de droits | Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées | Mesure organisationnelle | |
| Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
| Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesure organisationnelle | |
| Destruction du support papier | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesure physique |
| Finalité(s) | - Réaliser des enquêtes de satisfaction, des sondages et le suivi d'utilisation suite aux ventes réalisées - Gérer des programmes de fidélité, parrainage, bons cadeaux - Agréger des données nominatives issus des réseaux sociaux - Tenir des statistiques nominative par client |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1a (consentement) | la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; | |
| Référentiel | Avis en lignes | Décret n°2017-1436 du Code de la consommation Norme NF ISO 20488 encadrant les «avis en ligne» (date, expérience, critère, contreparties, contrôle, modification, rejet) |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| 03 La personne enregistrée | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
| 03 La personne enregistrée | 03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..) | Oui |
| 03 La personne enregistrée | 35 Opinions : date, avis, retour d'expérience, note | Oui |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | les avis sont gérés par l'OT et son service communication Ils sont destinés à être publiés de manière anonymes sur le site de l'OT et/ou sur Google/avis |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable obtenu lors d'un traitement connexe |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Pour les avis en ligne, les personnes ont consenti au Conditions Générales d’Utilisation prestataire permettant la publication de l'avis Pour les avis laissés au format papier, une mention sur le formulaire renvoie à la présente Politique de Protection |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les avis en ligne sont modifiables par les personnes dépositaires selon les CGU du prestataire. Leur publication peut être modéré par l'organisme Les avis laissés sur formulaires papier sont conservés |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Automatique, les personnes reçoivent une copie de leur avis |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Désignation |
Motif |
Données concernées |
|---|---|---|
| Tout public | 02 Information d'une partie prenante | Avis destiné au public, modéré avec la réponse de l'OT |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | Concernant les personnes, les avis sont publics ; concernant l'organisme, l'accès à l'ensemble des avis et des réponses doit rester strictement réservé aux personnes habilitées |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesure organisationnelle | |
| Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesure physique |
40 - Achats, Comptabilité et finances
| Finalité(s) | - Recevoir et rediriger de manière adéquate les demandes venant du grand public - Collecter les informations nécessaires pour répondre à une demande puis envoyer les documentations - Comptabiliser les flux entrants et les types de demandes |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime (...plus de détails) est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. |
L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
| Référentiel | Obligation générale d'information précontractuelle | Code de la consommation : L111-1 à L111-8 | |
| Référentiel | Secret des correspondances privées | Principes s'appliquant aux échanges oraux ou écrits impliquant par leur contenu une certaine intimité (selon appréciation des juges, Code pénal, art 226-15, Directive européenne 97/66, 15/12/1997) Les correspondances professionnelles ne sont pas concernées | Il est interdit à toute autre personne que les destinataires, d’écouter, surveiller, intercepter, stocker, détourner, retarder ou divulguer les communications, sauf consentement préalable ou autorisation légale. |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| 03 La personne enregistrée | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
| 03 La personne enregistrée | 02 Identifiants : domicile privé (adresse postale) | Non |
| 03 La personne enregistrée | 03 Identifiants : adresse de messagerie personnelle | Non |
| 03 La personne enregistrée | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Oui |
| 03 La personne enregistrée | 22 Activités : devis, propositions, essais, négociations | Non |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | 3 mois après la réponse à la demande ou la fin de de la communication pour les messages notés et mails de correspondances puis archivage |
| mixte | -- | -- | 3 ans pour les messages ou correspondances à l'origine de réclamations |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Les personnes sont informées par la présente politique de protection des données et par un message dans les mails "correspondance respectant les conditions de notre politique de protection des données" |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | La personne pourra s'adresser directement à la direction par tél, mail ou physiquement, ou bien remplir un formulaire de demande de droit disponible depuis le site internet. |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, la personne dispose déjà des données car elle est partie prenant des échanges |
Acteurs internes
| 3. ACCUEIL | |
| 5. PROMOTION ET COMMUNICATION | |
| 7. ESPACE DE L'OCEAN |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Désignation |
Motif |
Données concernées |
|---|---|---|
| Parties prenantes d'une correspondance | 02 Information d'une partie prenante | Lorsqu'un renseignement est demandé à un tiers |
| ADT | 02 Information d'une partie prenante | Mise en commun régionale d'informations |
| Faire Savoir | 04 Statistiques en rapport avec la finalité | Tourinsoft : système d'information touristique départemental |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Important |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | La divulgation d'une correspondance à une personne non autorisée peut entrainer des désagréments ou des tensions. En conséquence, l'accès au cahier d'appel est restreint et des messageries adaptées à chaque usage (secrétariat, transport, gestion, RH) ont été crées afin de cloisonner l'information. |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Accès via un compte soumis à une politique de droits | Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées | Mesure organisationnelle | |
| Transmission directe et orale de l'information | L'absence de stockage évite des mesures de protection | Mesure organisationnelle | |
| Données stockées dans une infrastructure "Datacenter" | Protégé par des normes de protection spécifiques de type SOC1, SOC 2, à minima ISO 27001 | Mesure physique | |
| Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
| Finalité(s) | - Obligation légale pour les hébergeurs, opérateurs numériques et OT en EPIC de récolter et déclarer la taxe de séjour - Pour les OT en EPIC, encaissement de la taxe |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1c (obligation légale) | le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| Données de l'hébergeur | 01 Identifiants | Oui |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | l'OT et son service gestion envoie un récapitulatif des montants aux services fiscaux de l'état ; ceux-ci ne reçoivent pas les données personnelles des personnes concernées |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Obligation légale |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Pas d'information à délivrer, l'identifiant de la personne hébergée n'étant pas transmise |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | N/A |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Désignation |
Motif |
Données concernées |
|---|---|---|
| Administrations et organismes d'état | 03 Information du législateur | hébergeur, nombre de nuitée |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Négligeable |
| Impact maximum sur l'organisme | Négligeable |
| Commentaires sur l'impact et la protection | Peu de données à caractère sont présents |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesure organisationnelle | |
| Pas de mesures physiques nécessaires | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure physique |
| Finalité(s) | - Effectuer les opérations administratives liées aux contrats, aux commandes, aux réceptions, aux factures, aux règlements - D'entretenir une base fournisseurs (coordonnées, contacts, historiques d'achats, documentations) - D'établir des statistiques financières et de chiffre d'affaires par fournisseur - De fournir des sélections de fournisseurs - Gérer l’exécution financière des dépenses de l'entreprise et le suivi de budgets hors dépense de personnel |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; | Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Référentiel | Code de commerce | Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties | |
| Référentiel | Fichiers de fournisseurs | CNIL Norme DI 04 concernant les fichiers fournisseurs et la prospection commerciale |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| 13 Fournisseurs, partenaires, cotraitants | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
| 13 Fournisseurs, partenaires, cotraitants | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Oui |
| 13 Fournisseurs, partenaires, cotraitants | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
| 31 Prestataires, consultants | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
| 31 Prestataires, consultants | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Oui |
| 31 Prestataires, consultants | 23 Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | 1 an jusqu'à clôture de la comptabilité, puis procédure logicielle d'archivage annuelle |
| mixte | -- | -- | 10 ans, conformément aux codes des impôts pour tous les documents concernant les achats |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Obligation légale Respect des CGV |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | La conservation et les échanges de données sont régies par les Conditions Générales de Vente ou les Conditions Générales d'Utilisation ou les contrats et conventions spécifiques qui régissent les relations des parties |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Les employés des tiers en contact avec l'organisme ne peuvent faire valoir l’exercice d'un droit que par l'intermédiaire de leur employeur. Les organismes mettent en œuvre des systèmes d'anonymisation lorsque le besoin s'en fait sentir. |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | non, sauf spécifications contraire entre les parties |
Acteurs internes
| 2. GESTION / FINANCE / RH |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Désignation |
Motif |
Données concernées |
|---|---|---|
| Parties prenantes d'une correspondance | 02 Information d'une partie prenante |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | La protection des fichiers fournisseurs, des prix et des volumes d'achat est une préoccupation importante de chaque organisme. L'accès est donc réservé aux seules personnes habilitées |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Accès via un compte soumis à une politique de droits | Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées | Mesure organisationnelle | |
| Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
| Données stockées dans un serveur à l'accès physique contrôlé | Protection des locaux et des accès | Mesure physique | |
| Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique |
| Finalité(s) | - Encaisser les paiements clients, effectuer les relances - Émettre des paiements fournisseurs et tiers - Suivre les comptes bancaires, la trésorerie - Saisir la comptabilité générale : client, fournisseurs, employés |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime (...plus de détails) est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. |
L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
| Référentiel | Comptabilité | CNIL, Délibération relative au traitement automatisé de la comptabilité générale |
|
| Référentiel | Code général des impôts (comptabilité) | Sous-section 4 : Conservation et représentation des livres, documents et pièces comptables dans le cadre d'une comptabilité informatisée | |
| Référentiel | Délais de conservation et d'archivage des documents pour les entreprises | Une entreprise doit conserver tout document émis ou reçu dans l'exercice de son activité pendant une durée minimale. Ce délai varie selon la nature des papiers et les obligations légales. L'entreprise peut aussi archiver les documents plus longtemps, sauf s'ils contiennent des données personnelles. Pendant ce délai, l'administration peut mener des contrôles. |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| 11 Clients | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Oui |
| 11 Clients | 23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) | Oui |
| 13 Fournisseurs, partenaires, cotraitants | 04 Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Oui |
| 13 Fournisseurs, partenaires, cotraitants | 23 Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) | Oui |
| 20 Employés de l'organisme | 76 Données RH : salaire, acomptes, coef. retenue à la source, domiciliation bancaire | Oui |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | l'année en cours jusqu'à clôture de la comptabilité, pour les documents et fichiers, puis transfert aux archives |
| mixte | -- | -- | 10 ans à compter de l'année d'émission (obligation fiscale) |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel Obligation légale |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Pas d'information particulière autre que la Politique de Protection |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Pas de droits applicables sur ce traitement |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Acteurs internes
| 2. GESTION / FINANCE / RH |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Désignation |
Motif |
Données concernées |
|---|---|---|
| Cabinet CAMS | 04 Statistiques en rapport avec la finalité | Contrôle de gestion |
| Administrations et organismes d'état | 03 Information du législateur | Déclarations fiscales |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | Les données comptables sont confidentielles car elles contiennent des informations sensibles sur l'activité de l'entreprise: (CA des clients, CA des fournisseurs, marges, rémunérations des employés et dirigeants). L'organisme a mis en place des procédures physiques, organisationnelles et techniques pour protéger ses documents et logiciels comptables |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
| Moyens d'accès (compte, clés) dédiés à cette seule ressource | Permet le cloisonnement des informations et la traçabilité des actions. | Mesure organisationnelle | |
| Destruction du support papier | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesure physique | |
| Données stockées dans un serveur à l'accès physique contrôlé | Protection des locaux et des accès | Mesure physique | |
| Compte d'accès soumis à une politique de complexité | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement | Mesure technologique | |
| Stockage (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesure physique |
| Finalité(s) | - veille sur les candidatures, stockage des candidatures spontanés (entretien d'une CV-thèque) - constitution d'une CV-thèque - filtrage et communication à la direction et aux chefs de service - gestion des entretiens d'embauche |
Sur quelles bases légales et réglementaires nous appuyons-nous ?
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée | |
| Référentiel | Code du travail : les droits du candidat | Le recruteur est fondé à demander au candidat tous les éléments permettant de vérifier sa qualification et ses antécédents professionnels mais il doit limiter ses investigations à cette sphère. Le candidat à un emploi est de son côté tenu de répondre de bonne foi aux questions qui lui sont légalement posées. | |
| Référentiel | Recrutement | CNIL les-operations-de-recrutement |
Quelles personnes et quelles données font l'objet de ce traitement ?
Catégorie de personnes |
Catégories de données |
Obligatoire |
|---|---|---|
| 22 Candidats à un emploi | 01 Identifiants : état civil (nom, prénom, civilité) | Oui |
| 22 Candidats à un emploi | 02 Identifiants : domicile privé (adresse postale) | Non |
| 22 Candidats à un emploi | 03 Identifiants : adresse de messagerie personnelle | Non |
| 22 Candidats à un emploi | 03 Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..) | Non |
| 22 Candidats à un emploi | 03 Identifiants : téléphone privé (portable, fixe) | Non |
| 22 Candidats à un emploi | 15 Caractéristiques personnelles : date et lieu de naissance | Non |
| 22 Candidats à un emploi | 21 Activités : correspondance par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Non |
| 22 Candidats à un emploi | 41 Situation et relations : profession, domaine d'activité, catégorie socio-professionnelle | Oui |
| 22 Candidats à un emploi | 70 Données RH : CV, diplômes, expériences, centres d'intérêts | Oui |
| 22 Candidats à un emploi | 75 Données RH : entretiens (dates, évaluateur, objectifs, appréciations) | Non |
Combien de temps conservons-nous vos données ?
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| durée initiale | -- | -- | 2 ans maximum après leur réception, pour les candidatures reçues |
Comment respectons-nous vos droits (consentement, information, correction, portabilité) ?
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Les candidats reçoivent un email en réponse à leur demande qui indique un lien vers la Politique de Protection des Données |
| Comment la personne peut exercer ses droits de correction, de limitation, d'opposition | Ils peuvent agir sur leurs données via le formulaire d'exercice des droits |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A : aucune donnée collectée ne nécessite une portabilité |
Acteurs internes
| 1. DIRECTION | |
| 2. GESTION / FINANCE / RH |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Sensibilité estimée et impacts potentiels en cas de violation ?
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Limité |
| Commentaires sur l'impact et la protection | La gestion des candidatures revêt une certaine sensibilité dans la mesure où de nombreuses informations doivent être disponibles pour être étudiées. En conséquence, ce processus reste interne afin de conserver la confidentialité |
Quelles mesures de sécurité spécifiques avons-nous mise en place ?
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Stockage (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesure physique | |
| Accès via un compte soumis à une politique de droits | Le compte octroyé ou le matériel confié (par la DSI...) pour se connecter au réseau, aux fichiers, à l'application ne permet d'accéder qu'aux informations permises et d'y réaliser uniquement les actions autorisées | Mesure organisationnelle | |
| Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle |