Organisme |
|
Représentant légal |
|
Délégué à la Protection des Données |
|
| Finalité(s) | Description générale de l'activité Finalités principales de l'entreprise |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6 | Conformément à l'article 6 du RGPD, selon le traitement considéré : soit vous exprimez un consentement explicite, soit nous concluons un contrat avec vous, soit nous effectuons un traitement légitime, d'intérêt public, ou nécessaire à la sauvegarde des intérêts vitaux de la personne concernée. |
|
| Non définie | Autres fondements | Les conditions de licéité du traitement sont plus précisément définies selon les dispositions légales ou réglementaires en vigueur, le contenu des contrats, le statut de notre organisme, ou la documentation jointe lors de la collecte ou durant le traitement lui-même |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Internautes | Informations permettant d'améliorer et de personnaliser la navigation des internautes | Oui | Oui |
| Prospects | Informations nécessaires aux activités pré commerciales (prospection, devis) | Oui | Oui |
| Clients | Données nécessaires à la réalisation des contrats, la fourniture des produits et services | Oui | Oui |
| Fournisseurs, partenaires, cotraitants | Données nécessaires pour réaliser les achats et suivre les activités partenaires | Oui | Oui |
| Employés de l'organisme | Informations RH concernant les employés et leurs activités | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Selon référentiels RGPD (données actives) | 01 Base active | Archivage | Les durées de conservation des données dépendent de la finalité du traitement, à défaut par la loi Informatique et Libertés du 17 juin 2019 comportant les dispositions relatives aux « marges de manœuvre nationales » autorisées par le Règlement général sur la Protection des Données (RGPD) ou, plus spécifiquement, selon les fondements auxquels notre organisme ou le traitement est soumis |
| 5 à 10 ans (données comptables, fiscales, RH) | 03 Archives intermédiaires | Anonymisation | Nous archivons certaines informations, documents et fichiers pour répondre à nos obligations légales en matière comptable, fiscale et gestion du personnel (CNIL durées de conservation des données) |
| Selon référentiels RGPD (données en archives) | 02 Stockage mixte | Suppression | Nous conservons certaines informations, documents et fichiers, avec le consentement des personnes concernées, pour faciliter d'autres traitements connexes ou ultérieurs |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | Nous nous conformons à loi "Informatique et Libertés" et respectons ses fondements en informant préalablement à chaque traitement la personne concernée par le biais de cette politique, et selon la nature du traitement, soit nous sollicitons la personne concernée pour obtenir son consentement, établir des contrats ou des conventions, soit nous effectuons un traitement légitime, légal ou nécessaire à la sauvegarde des intérêts vitaux de la personne concernée. zzz |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Via le site organisme.com, rubrique "Mentions légales" ainsi que des informations spécifiques lors de chaque traitement |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | Les personnes peuvent exercer leurs droits en s'adressant à la direction ou au DPO, par téléphone ou mail, en se rendant dans les locaux de l'organisme ou via le site internet rubrique "Données personnelles". Pour tout recours, elles peuvent s'adresser à la CNIL |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Lorsque la récupération des données traitées par l'organisme est prévue, des procédures spécifiques à chaque traitement sont mises en œuvre : envoi des données par l'organisme, récupération au fil de l'eau lors d'échanges de documents ou conversations, ou bien à travers un compte utilisateur par exemple |
Acteurs internes
| Employés |
Sous-traitants (autres organismes ayant accès aux données)
| Sous-traitant de données |
Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Recipient |
Motif |
Données concernées |
|---|---|---|
| Administration, organisme d'état, service public | 03 Information du législateur | |
| Fournisseur de services financiers (banque, organisme de paiement) | 01 Pour traitement(s) connexe(s) | |
| Fournisseur | 04 Statistiques en rapport avec la finalité |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Négligeable |
| Impact maximum sur l'organisme | Maximum |
| Commentaires sur l'impact et la protection | L'organisme sous-traite le déploiement et l'entretien de son système d'information à un prestataire professionnel qui maintient contractuellement le système opérationnel et supervise "en temps réel" l'utilisation des matériels et applications de l'organisme |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesure organisationnelle | |
| Protection physique des accès aux locaux et aux postes informatiques | Mise en œuvre de mesures appropriées et spécifiques (alarmes, serrures et autres contrôles physiques) permettant de conditionner l’accès aux locaux, aux équipements numériques et aux supports de données | Mesure physique | |
| Alertes sur métriques | Des solutions de monitoring système ou réseau, avec des graphiques et des règles d'alerte ont été paramétrées et un utilisateur formé, afin de remonter des pertes de performances, pannes ou anomalies | Mesure technologique | |
| Supervision par un SOC | L'analyste SOC (security operation center) a pour mission la surveillance du système d'information d'une entreprise au sens large afin de détecter toutes les activités suspectes ou malveillantes. | Mesure organisationnelle | |
| RSSI désigné | Le Responsable de la Sécurité et du Système d'Information définit les règles en règle en terme de sécurité et contrôle leur application | Mesure organisationnelle |
10 - Activités de communication et de marketing
| Finalité(s) | Permettre la présentation de l'organisme, ses activités et la consultation de son catalogue produits Proposer un formulaire de contact et l'achat en ligne Mesurer l'audience (nbre de visites, de pages vues activité des visiteurs, ...) pour adapter nos offres et nos présentations Recueillir des informations sur les centres d’intérêt au travers des produits consultés sur notre site et collecter des données de navigation afin de personnaliser l’offre publicitaire qui vous est adressée sur et en dehors du site |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1a (consentement) | La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques (RGPD Article 6) ; lire + |
|
| Droit français | Site internet | Mentions obligatoires sur un site et droits de l'internaute : service-public.fr, F31228 |
|
| Règlement européen | Cookies et traceurs | Consentement selon Réglementation Européenne sur les cookies et autres traceurs, article 5(3) de la directive 2002/58/CE. |
la CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement. |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Internautes | Identifiants : adresse ip du périphérique | Non | Non |
| Internautes | Identifiants : ID unique de publicité (internet, cookie third party) | Non | Non |
| Internautes | Activités : navigation internet, site et pages visitées, horodatage, actions effectués… | Non | Non |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| 13 mois (Cookies et traceurs) | 01 Base active | Suppression | à l'issue de la période ou en cas de retrait du consentement, l'internaute est invité à donner à nouveau son consentement ; |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | Le bandeau cookies apparait dès que l'utilisateur arrive sur le site et il doit choisir "accepter tout" , "refuser" ou "gérer les préférences" |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Lorsque le bandeau est affiché, en cliquant sur "Paramètre des cookies", l'internaute visualise les catégories de cookies. |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | Soit en cliquant sur "autoriser tous les cookies", soit sur "Paramètre des cookies" depuis le bandeau qui s'affiche en avant-plan à la première visite, puis en raccourci lors des visites suivantes. "un bouton glissant" permet d'activer ou de de désactiver le suivi |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Recipient |
Motif |
Données concernées |
|---|---|---|
| Google Ads | 05 Pour information commerciale (produits/services identiques) |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | Hors U.E. |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Négligeable |
| Impact maximum sur l'organisme | Limité |
| Commentaires sur l'impact et la protection | Les données anonymisée ne nécessitent pas de mesures particulières. L'utilisation des cookies tiers sont strictement encadrées et font l'objet d'un consentement |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Politique de Confidentialité des Cookies | Elle s’impose aux responsables du ou des traitements qui déposent des traceurs soumis au consentement en application de l’article 82 de la loi Informatique et Libertés | Mesure organisationnelle | |
| Outil de gestion des cookies | Les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs, tandis que d’autres sont dispensés du recueil de ce consentement | Mesure technologique | |
| Données stockées chez un sous-traitant SaaS | Le stockage est hors de l'organisme et les mesures de protection sont garanties par le prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
| L'authentification par mots de passe est conforme aux préconisations de la CNIL | Un identifiant par utilisateur, chaque mot de passe complexe, secret, unique, stocké avec chiffrement | Mesure technologique |
| Finalité(s) | Acquérir des bases de prospects par renseignements sur les profils de consommateurs ou achats réguliers de fichiers Réaliser des actions de prospection commerciale et de marketing (e-mailing, phoning) Organiser des jeux concours, parrainage, promotion, sondage Envoyer des messages publicitaires par mail ou SMS |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1a (consentement) | La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques (RGPD Article 6) ; lire + |
|
| Référentiel | Prospection numérique | CNIL, bonnes pratiques : Maitrisez votre relation client CNIL Thématique : la prospection commerciale |
|
| Référentiel | Prospection physique et par voie postale | Concernant les particuliers : biens et services analogues prospection des professionnels ; CNIL bonnes pratiques : (la prospection commerciale et CNIL Référentiels : Gestion Commerciale |
CNIL La prospection commerciale<br /> CNIL referentiel-gestion-commerciale.pdf<br /> <br /> |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Prospects | Identifiants : état civil (nom, prénom, civilité) | Non | Non |
| Prospects | Identifiants : domicile privé (adresse postale) | Non | Non |
| Prospects | Identifiants : adresse de messagerie personnelle (email) | Non | Non |
| Prospects | Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..) | Non | Non |
| Prospects | Identifiants : téléphone privé (portable, fixe) | Non | Non |
| Prospects | Activités : profil d'acheteur, souhaits potentiels d'achat | Oui | Oui |
| Prospects | Activités : habitudes, activités, présence à des événements… | Non | Non |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Tant que la personne n'a pas retiré son consentement | 01 Base active | -- | durant la période des 2 ans |
| 2 ans à compter de la dernière communication | 01 Base active | -- | à compter du dernier contact avec la personne concernée |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable obtenu lors d'un traitement connexe Consentement préalable détenu par un tiers |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | La personne a préalablement fournit un consentement. A chaque action marketing, une méthode (un lien, un email) est proposée pour permettre à la personne de refuser une prochaine communication en rapport avec la campagne |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | L'exercice des droits se fait soit via le prestataire si consentement détenu par un tiers, soit auprès du responsable du traitement pour la campagne considérée |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, car traitement automatisé |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | Les approches marketing doivent tenir compte de l’importance grandissante de la protection de la vie privée et des lois qui la protège. Dans cette optique, nous privilégions des connexions personnelles et individualisées avec nos prospects ainsi qu'une communication transparente, loyale et adaptée. Par ailleurs, nous développons des outils permettant à la personne d'interagir facilement et directement sur ses données.afin d’établir la confiance avec les utilisateurs. |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
| Pas de mesures physiques nécessaires | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure physique | |
| Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesure organisationnelle | |
| L'authentification par mots de passe est conforme aux préconisations de la CNIL | Un identifiant par utilisateur, chaque mot de passe complexe, secret, unique, stocké avec chiffrement | Mesure technologique | |
| Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
| Finalité(s) | Études marketing et génération de fichiers nominatifs client ciblés Réaliser des actions commerciales ou marketing direct auprès des clients (campagnes téléphoniques, envoi de messages mail ou SMS, jeux concours, parrainage, promotion, sondage) Émettre des messages de promotion vers des abonnées (réseaux sociaux, forums) |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime (CNIL, bases légales) est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. |
L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
| RGPD | Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée (RGPD, art 6-1 b) |
|
| Référentiel | Prospection numérique | CNIL, bonnes pratiques : Maitrisez votre relation client CNIL Thématique : la prospection commerciale |
|
| Référentiel | Prospection physique et par voie postale | Concernant les particuliers : biens et services analogues prospection des professionnels ; CNIL bonnes pratiques : (la prospection commerciale et CNIL Référentiels : Gestion Commerciale |
CNIL La prospection commerciale<br /> CNIL referentiel-gestion-commerciale.pdf<br /> <br /> |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients particuliers (B to C) | Identifiants | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Tant que la personne n'a pas retiré son consentement | 01 Base active | -- | durant la période des 3 ans |
| 3 ans (coordonnées prospects et clients) | 01 Base active | -- | après le dernier échange ; pour conserver les données, un nouveau consentement est sollicité |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable obtenu lors d'un traitement connexe CGV |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par la présente Politique de Protection de données rappelée dans les Conditions Générales de Vente, et dans les contrats le cas échéant |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | En s'adressant directement à son contact commercial ou à l'accueil, en remplissant le formulaire d'exercice des droits le cas échéant |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, pas de données susceptibles d'être transmises |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | Les approches marketing évoluent pour tenir compte de l’importance grandissante de la protection de la vie privée et des lois qui la protège. Dans cette optique, nous privilégions des connexions personnelles et individualisées avec nos prospects ainsi qu'une communication transparente, loyale et adaptée. Par ailleurs, nous développons des outils permettant à la personne d'interagir facilement et directement sur ses données.afin d’établir la confiance avec les utilisateurs. |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
| Pas de mesures physiques nécessaires | Le stockage est hors de l'organisme, les mesures physiques sont garanties par un prestataire (Datacenter, SaaS..) | Mesure physique | |
| Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesure organisationnelle | |
| Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
| Finalité(s) | Acquisition d'informations sur les utilisateurs de réseaux sociaux Emissions de messages ciblés vers des abonnées (réseaux sociaux, forums) Echanges en ligne, publications dans des forums, chat live |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime (CNIL, bases légales) est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. |
L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
| Référentiel | Prospection numérique | CNIL, bonnes pratiques : Maitrisez votre relation client CNIL Thématique : la prospection commerciale |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| La personne enregistrée | Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..) | Oui | Oui |
| La personne enregistrée | Activités : correspondance ou message par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Oui | Oui |
| La personne enregistrée | Activités : activités sur les réseaux sociaux (posts, forums...) | Non | Non |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Tant que la personne n'a pas retiré son consentement | 01 Base active | -- | et qu'elle reste abonné au réseau social concerné |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable détenu par un tiers |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par les réseaux sociaux : au moment de l'inscription de la personne, les conditions d'utilisation des réseaux sont affichées et doivent être acceptées. |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | Les réseaux sociaux disposent de tableaux de bord permettant aux personnes de paramétrer leur préférences de communication et de publicité |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Les réseaux sociaux disposent de procédures de portabilité et de gestionnaires du sort des données |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Recipient |
Motif |
Données concernées |
|---|---|---|
| Réseaux sociaux | 05 Pour information commerciale (produits/services identiques) | Le gestionnaire du réseau social collecte certaines informations concernant les interactions entre ses utilisateurs |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | Hors U.E. USA |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Négligeable |
| Commentaires sur l'impact et la protection | Les comptes dédiés à ce traitement sont détenus par les personnes habilités ; dès lors que la personne concernée effectue une demande concernant ses achats, une conversation privée est initiée |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
| Données stockées chez un sous-traitant SaaS | Le stockage est hors de l'organisme et les mesures de protection sont garanties par le prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
| L'authentification par mots de passe est conforme aux préconisations de la CNIL | Un identifiant par utilisateur, chaque mot de passe complexe, secret, unique, stocké avec chiffrement | Mesure technologique | |
| Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesure technologique |
| Finalité(s) | Gestion des cartes de fidelité Parrainage, bons cadeaux... |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1a (consentement) | La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques (RGPD Article 6) ; lire + |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients | Identifiants : état civil (nom, prénom, civilité) | Oui | Oui |
| Clients | Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Tant que la personne n'a pas retiré son consentement | 01 Base active | -- |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | La personne a souscrit au programme "carte de fidelité" et l'a validé explicitement par sa signature |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Lors de la souscription au programme de fidélité, la personne a reçu les conditions du traitement |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | En s'adressant au service commercial ou en remplissage le formulaire d'exercice des droits disponible sur le site |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Accès conditionnel selon l'appareil | Les données ne sont consultables que depuis un appareil de confiance, identifié et autorisé par l'organisme | Mesure technologique | |
| Filtrage des droits d'accès par profils (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle | Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...) |
| Finalité(s) | Organiser des loteries ou toute opération promotionnelle à l'exclusion des jeux d'argent et de hasard en ligne soumis à l'agrément de l'Autorité de Régulation des Jeux en Ligne Faire gagner des lots aux participants Promouvoir les activités de l'organisme |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1a (consentement) | La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques (RGPD Article 6) ; lire + |
|
| Référentiel | Jeux concours | Loi du 21 mai 1836, Modifié par LOI n°2014-1545 du 20 décembre 2014 - art. 54 CNIL organisation-de-jeux-concours-que-faire |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| La personne enregistrée | Identifiants : état civil (nom, prénom, civilité) | Oui | Oui |
| La personne enregistrée | Identifiants : domicile privé (adresse postale) | Non | Non |
| La personne enregistrée | Identifiants : adresse de messagerie personnelle (email) | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| 3 ans (coordonnées prospects et clients) | 03 Archives intermédiaires | -- | 3 ans après la date du jeu concours, sauf refus de la personne |
| Tant que l'année fiscale n'est pas terminée (comptabilité clôturée) | 01 Base active | -- |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | En s'inscrivant au jeu, les personnes acceptent les conditions générales du jeu |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Les conditions sont portées à leur connaissance sur le billet concours et rappelées via la présente Politique de Confidentialité |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | Les personnes peuvent refuser le traitement de leur données au moment de la participation en le spécifiant au moment de l'inscription |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Négligeable |
| Impact maximum sur l'organisme | Négligeable |
| Commentaires sur l'impact et la protection | Aux fins d'impartialité, la liste des participants doit être destinée uniquement aux personnes habilités par le règlement du jeu afin de garantir un strict respect de celui-ci. |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| L'authentification par mots de passe est conforme aux préconisations de la CNIL | Un identifiant par utilisateur, chaque mot de passe complexe, secret, unique, stocké avec chiffrement | Mesure technologique | La gestion des identifiants est conforme aux préconisations : complexe, unique, stocké avec chiffrement |
| Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle | |
| Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesure technologique |
| Finalité(s) | Tenue d'un fichier des abonnés Elaboration et envoi des newsletter |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1a (consentement) | La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques (RGPD Article 6) ; lire + |
|
| Référentiel | Newsletter | article 32 de la Loi Informatique et Libertés ; article L34-5 du Code des postes et des communications électroniques |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Abonnés à une newsletter | Identifiants | Non | Non |
| Abonnés à une newsletter | Identifiants : adresse de messagerie personnelle (email) | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Tant que la personne n'a pas retiré son consentement | 01 Base active | -- | Chaque envoi contient un lien de désabonnement en 1 clic. Celui-ci provoque l'effacement de la base d'envoi |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | La personne a donné son consentement par une case à cacher sur le formulaire internet d'abonnement |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | par une mention concernant les données personnelles sous le formulaire + un lien vers la présente Politique de Protection |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | Lors de chaque envoi d'une newsletter, la personne peut se désabonner d'un simple clic grâce à un lien situé au pied du courrier |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Recipient |
Motif |
Données concernées |
|---|---|---|
| Fournisseur de services numériques | 04 Statistiques en rapport avec la finalité | Éditeur du logiciel e-mailing en mode SaaS |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Négligeable |
| Impact maximum sur l'organisme | Limité |
| Commentaires sur l'impact et la protection | Les abonnées à une newsletter s'apparentent à un fichier prospect/clients et doit être protégé comme tel |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
| Données stockées chez un sous-traitant SaaS | Le stockage est hors de l'organisme et les mesures de protection sont garanties par le prestataire (Datacenter, SaaS..) | Mesure organisationnelle |
| Finalité(s) | Collecter des questionnaires de satisfaction concernant les produits ou services proposés Réaliser des enquêtes de satisfaction, des sondages et le suivi d'utilisation auprès des campeurs Agréger des données nominatives ou non issues des enquêtes afin de construire des indicateurs concernant la satisfaction concernant nos services |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1a (consentement) | La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques (RGPD Article 6) ; lire + |
|
| Référentiel | Avis en lignes | Décret n°2017-1436 du Code de la consommation Norme NF ISO 20488 encadrant les «avis en ligne» (date, expérience, critère, contreparties, contrôle, modification, rejet) |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| La personne enregistrée | Identifiants : état civil (nom, prénom, civilité) | Non | Non |
| La personne enregistrée | Identifiants : identifiant, pseudo de réseau social (facebook, linkedin, ..) | Oui | Oui |
| La personne enregistrée | Opinions : date, avis, retour d'expérience, note | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Tant que la personne n'a pas retiré son consentement | 01 Base active | -- | Les avis sont conservés tant que les personnes n'ont pas retiré leur consentement ou tant que l'organisme ou le prestataire assure sa diffusion |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable détenu par un tiers |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Pour les avis en ligne, les personnes ont consenti au Conditions Générales d’Utilisation prestataire permettant la publication de l'avis Pour les avis laissés au format papier, une mention sur le formulaire renvoie à la présente Politique de Protection |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | Les avis en ligne sont modifiables par les personnes dépositaires selon les CGU du prestataire. Leur publication peut être modéré par l'organisme Les avis laissés sur formulaires papier sont conservés |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Automatique, les personnes reçoivent une copie de leur avis |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Recipient |
Motif |
Données concernées |
|---|---|---|
| Tout public | 02 Information d'une partie prenante |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | Hors U.E. |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | Concernant les personnes, les avis sont publics ; concernant l'organisme, l'accès à l'ensemble des avis et des réponses doit rester strictement réservé aux personnes habilitées |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Données stockées chez un sous-traitant SaaS | Le stockage est hors de l'organisme et les mesures de protection sont garanties par le prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
| Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle |
20 - Activités commerciales
| Finalité(s) | Prospecter des entreprises, des professionnels, des particuliers Collecter des cahiers des charges techniques et financiers Enregistrer les coordonnées des personnes Élaborer des offres, les remettre via mails ou papiers Négocier les propositions, suivre les objections Saisir les commandes ou les refus Suivre les livraisons ou les paiements Établir des statistiques d'activités commerciales |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée (RGPD, art 6-1 b) |
|
| Droit français | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges : CF legifrance |
|
| Droit français | Obligation générale d'information précontractuelle | Code de la consommation : Art L111-1 à L111-8 |
|
| Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur. |
|
| Référentiel | Code de commerce | Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties | |
| Référentiel | Gestion des activités commerciales | Référentiel CNIL "Gestion Commerciale" : préconisation concernant les contrats, prospection, comptabilité, statistiques, enquêtes, sav |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Prospects | Identifiants : état civil (nom, prénom, civilité) | Oui | Oui |
| Prospects | Identifiants : domicile privé (adresse postale) | Oui | Oui |
| Prospects | Identifiants : adresse de messagerie personnelle (email) | Non | Non |
| Prospects | Identifiants : téléphone privé (portable, fixe) | Non | Non |
| Prospects | Identifiants : signature (manuscrite, numérique) | Oui | Oui |
| Prospects | Activités : correspondance ou message par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Oui | Oui |
| Prospects | Activités : devis, propositions, essais, négociations | Oui | Oui |
| Prospects | Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) | Oui | Oui |
| Prospects | Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui | Oui |
| Prospects | Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| 5 ans à compter de l'émission ou de l'échéance contractuelle | 03 Archives intermédiaires | -- | Devis et annexes, échanges commerciaux en vue de la conclusion d'un contrat |
| 3 mois après la réponse (suite à une demande) | 01 Base active | -- | Les données nécessaires à l'exécution du contrat sont conservées durant toute la durée de celui-ci plus 3 ans. Après 3 ans, les données de contact sont effacées et les factures archivées.* Les statistiques concernant l'activité sont anonymisées ; celles concernant la personne sont conservées 3 ans après sa dernière communication |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | Les personnes signent un contrat et des annexes, permettant le recueil des données nécessaires à la vente |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par les CGV et par les conditions particulières du contrat, rubrique "Données personnelles" ; par la présente Politique de Protection des Données |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | En s'adressant directement au service commercial concerné ; le cas échéant, à la direction de l'organisme, au Délégué à la Protection des Données via contact@organisme.com, ou en remplissant le formulaire des droits depuis le site internet |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, aucune donnée n'a lieu d'être portée, les personnes ayant reçu un duplicata du contrat et aucune donnée supplémentaire n'ayant été collectée lors de son exécution |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément important de la vente, l'organisme a pris des mesures de protection appropriées concernant l'accès aux données qu'il stocke ainsi qu'aux modalités de partage des informations |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
| Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
| Filtrage des droits d'accès par profils (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle | |
| Broyage en cas de fin de vie des documents papiers | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesure physique |
| Finalité(s) | Enregistrer et partager avec les personnes habilitées : - les coordonnées des prospects & clients - l'historique des demandes et affaires, potentielles, en cours ou traitées - les actions commerciales menées (visites, phoning, mailing) |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime (CNIL, bases légales) est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. |
L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
| Référentiel | Code de la propriété intellectuelle | Le Code de la Propriété Intellectuelle protège le patrimoine de l'entreprise, et notamment ses bases de données (fichiers clients...) du fait de l'investissement nécessaire à constitution et leur tenue (Art 341-1) |
Le code de la propriété intellectuelle est un document du droit français, créé par la loi nᵒ 92-597 du 1ᵉʳ juillet 1992 relative au code de la propriété intellectuelle, publié au Journal officiel du 3 juillet 1992. |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients | Identifiants | Oui | Oui |
| Clients | Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | Oui |
| Clients professionnels (B to B) | Identifiants : état civil (nom, prénom, civilité) | Oui | Oui |
| Clients particuliers (B to C) | Identifiants : domicile privé (adresse postale) | Oui | Oui |
| Clients particuliers (B to C) | Identifiants : adresse de messagerie personnelle (email) | Oui | Oui |
| Clients particuliers (B to C) | Identifiants : téléphone privé (portable, fixe) | Oui | Oui |
| Clients professionnels (B to B) | Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| 10 ans à compter de la clôture de l'exercice | 03 Archives intermédiaires | -- | données et documents concernant les ventes |
| 3 mois après la réponse (suite à une demande) | 01 Base active | -- | données et échanges de prospection |
| 2 ans à compter de la dernière communication | 01 Base active | -- | concerne les devis et offres |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable obtenu lors d'un traitement connexe Traitement légitime ou pré-contractuel |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | La personne a été informée lors de la signature de la commande + elle pourra se référer à la présente politique de protection des données |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | La personne peut à tout moment demander une copie des informations qui la concerne via le formulaire d'exercice des droits |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, sauf demande expresse de la personne |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | La protection du patrimoine de l'entreprise, et notamment du fichier client, est un souci permanent pour les responsables. Son contenu protégé par le code de la propriété intellectuelle (L-341-1 al.1er du CPI) du fait de l'investissement nécessaire à sa constitution et sa tenue |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
| Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle | |
| Données stockées chez un sous-traitant SaaS | Le stockage est hors de l'organisme et les mesures de protection sont garanties par le prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
| Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
30 - Production de biens et de services
| Finalité(s) | Délivrer les produits et services vendus Gestion des commandes et des livraisons |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ; RGPD (Art 6) |
Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Droit français | Code Civil, les contrats | Articles 1101 à 1231 du code Civil : Le contrat est un accord de volontés entre deux ou plusieurs personnes destiné à créer, modifier, transmettre ou éteindre des obligations |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients | Identifiants : état civil (nom, prénom, civilité) | Oui | Oui |
| Clients | Activités : éléments constitutifs du contrat | Oui | Oui |
| Clients | Activités : éléments traités durant l'exécution du contrat | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Tant que le contrat est en cours | -- | -- | Les données sont conservées tant que le contrat est en cours puis pendant l’exercice fiscal. 3 ans après le dernier échange, les coordonnées de contact sont effacés ou anonymisés |
| 10 ans à compter de la clôture de l'exercice | -- | -- | Les éléments du contrats ainsi que les documents de facturation sont archivés pour une durée de 10 ans, puis effacés |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable obtenu lors d'un traitement connexe |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Les personnes peuvent consulter leurs contrat et leurs annexes, qui décrivent les modalités de gestion. L'organisme informe régulièrement les personnes par mail de l'actualité concernant la gestion des contrats |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | En s'adressant à l'organisme, par téléphone ou via le formulaire d'exercice des droits disponible sur le site de l'agence |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Oui, des données pourraient être portées. Les personnes ayant reçu un duplicata du contrat mais les données supplémentaires ayant été collectée durant son exécution peuvent être transmises |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Filtrage des droits d'accès par profils (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle | Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...) |
| Accès aux données via le réseau local | Le poste de l'utilisateur doit être connecté au réseau réseau local (en direct, via VPN, RDP) ou l'utilisateur prend la main à distance sur un tel poste | Mesure organisationnelle | |
| Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle |
| Finalité(s) | Traitement des commandes clients Gestion des approvisionnements Expédition des marchandises Gestion des retours clients |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ; RGPD (Art 6) |
Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Droit français | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges : CF legifrance |
|
| Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur. |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients particuliers (B to C) | Identifiants : état civil (nom, prénom, civilité) | Non | Non |
| Clients particuliers (B to C) | Identifiants : domicile privé (adresse postale) | Non | Non |
| Clients particuliers (B to C) | Identifiants : téléphone privé (portable, fixe) | Non | Non |
| Clients professionnels (B to B) | Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Non | Non |
| Clients professionnels (B to B) | Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Non | Non |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Tant que l'année fiscale n'est pas terminée (comptabilité clôturée) | -- | -- | Données et documents afférents aux livraisons |
| 5 ans après la fin de leur validité | -- | -- | les coordonnées de contact ainsi que les données essentielles des contrats |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Le contrat et ses annexes décrivent les modalités de gestion. L'organisme informe régulièrement les personnes par mail de l'actualité concernant la gestion des contrats |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | Dans les conditions du contrat et via le formulaire d'exercice des droits |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Limité |
| Commentaires sur l'impact et la protection |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Stockage (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesure physique | |
| Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesure organisationnelle | |
| Anonymisation de la transaction | Une fois la transaction validée, les données sont anonymisées | Mesure technologique | |
| Broyage en cas de fin de vie des documents papiers | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesure physique |
| Finalité(s) | Organiser les commandes et les livraisons des matériels par vente Organiser les plannings quotidien, affecter les techniciens, les véhicules... Échanger avec le client concernant l'installation Effectuer la pose sur site Récolter des PVs d’exécution |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ; RGPD (Art 6) |
Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur. |
|
| Référentiel | Gestion des activités commerciales | Référentiel CNIL "Gestion Commerciale" : préconisation concernant les contrats, prospection, comptabilité, statistiques, enquêtes, sav |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients | Identifiants : état civil (nom, prénom, civilité) | Oui | Oui |
| Clients | Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Tant que le chantier est en cours | -- | -- | données de commandes, articles, éléments techniques, délais de livraison, éléments nécessaires à la pose / au montage. Restitution à la direction |
| Tant que la construction existe | -- | -- | Suite à la validation de ce traitement, les données sont transférées pour archives |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable obtenu lors d'un traitement connexe |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Informations délivrées lors de la commande (conditions du contrat, CGV) |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | En s'adressant directement à la direction ou en remplissant le formulaire d'exercice des droits |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Oui, une copie des informations de chantier sont remises au client à l'issue de l'installation |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | Les éléments techniques (matériaux marques et modèles, délais d'installation, méthodes de pose...) sont des éléments intégrant la propriété intellectuelles de l'entreprise. Des procédures de confidentialité et de protection des données sont mises en œuvre sur le terrain |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Terminaux fixes et mobiles : solution de protection renforcée (EPP, EDR, XDR) | Pour chaque appareil connecté : antivirus , protection du compte, pare-feu et protection réseau, contrôle des applications et du navigateur, sécurité de l'appareil | Mesure technologique | |
| Broyage en cas de fin de vie des documents papiers | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesure physique | |
| Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
| Stockage (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesure physique |
| Finalité(s) | Organiser les commandes et les livraisons des matériels par chantier Organiser les plannings quotidien, affecter les techniciens et les véhicules Échanger avec le client, organiser des réunions de chantier, récolter les PV d’exécution Calculer les ratios de rentabilité par chantier |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ; RGPD (Art 6) |
Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Référentiel | Code de commerce | Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties | |
| Référentiel | Garantie décennale | Les constructeurs ont l'obligation de souscrire une assurance de responsabilité civile décennale. Elle garantit la réparation des dommages qui apparaissent après la réception des travaux. |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients | Identifiants | Oui | Oui |
| Clients | Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | Oui |
| Clients | Activités : éléments traités durant l'exécution du contrat | Oui | Oui |
Conservation time PDF
Aucun de temps de conservation designé.Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable obtenu lors d'un traitement connexe |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Des informations spécifiques sont transmises lors de la signature des appels d'offres ouverts et fermés. |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | En s'adressant au responsable désigné du chantier, ou en remplissant le formulaire d'exercice des droits |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Oui, certaines données techniques sont remises en fin de chantier |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| PSSI mis en oeuvre | Un Plan de Sécurité des Systèmes d'Information ou pour la santé un PAS (Plan d'assurances sécurité) a été élaboré ; des mesures de sécurité et de protection normalisées, régulièrement auditées et éprouvées, ont été mises en oeuvre | Mesure organisationnelle | |
| Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesure organisationnelle | |
| L'authentification par mots de passe est conforme aux préconisations de la CNIL | Un identifiant par utilisateur, chaque mot de passe complexe, secret, unique, stocké avec chiffrement | Mesure technologique | |
| Protection physique des accès aux locaux et aux postes informatiques | Mise en œuvre de mesures appropriées et spécifiques (alarmes, serrures et autres contrôles physiques) permettant de conditionner l’accès aux locaux, aux équipements numériques et aux supports de données | Mesure physique |
| Finalité(s) | Production & usinage |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ; RGPD (Art 6) |
Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Référentiel | Code de commerce | Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients | Identifiants : état civil (nom, prénom, civilité) | Oui | Oui |
| Clients | Activités : éléments constitutifs du contrat | Oui | Oui |
| Clients | Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | Oui |
Conservation time PDF
Aucun de temps de conservation designé.Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable obtenu lors d'un traitement connexe |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Informations délivrées sur le Bon à Tirer (conditions particulières, CGV) |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | En s'adressant au secrétariat, ou en remplissant le formulaire d'exercice des droits |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Limité |
| Commentaires sur l'impact et la protection |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|
| Finalité(s) | Recevoir les appels de maintenance et planifier les interventions Gérer les maintenances préventives et correctives et commander les pièces Organiser les tournées des techniciens, réaliser, valider et clôturer les interventions sur site Effectuer le suivi du renouvellement des contrats d'entretien |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ; RGPD (Art 6) |
Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Droit français | Code Civil, les contrats | Articles 1101 à 1231 du code Civil : Le contrat est un accord de volontés entre deux ou plusieurs personnes destiné à créer, modifier, transmettre ou éteindre des obligations |
|
| Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur. |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients | Identifiants : état civil (nom, prénom, civilité) | Oui | Oui |
| Clients | Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| 2 ans après l'achat (données de garantie pour les biens et services) | -- | -- | Art L218-2 |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable obtenu lors d'un traitement connexe |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Informations délivrées lors de la commande (conditions du contrat, CGV) |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | En s'adressant au service "garantie", ou en remplissant le formulaire d'exercice des droits |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | A la demande, les données concernant les actions effectuées durant la garantie peuvent être transmises |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Limité |
| Commentaires sur l'impact et la protection |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|
| Finalité(s) | Recevoir et planifier les demandes de prestations de réparation et d'entretien Réaliser les prestations ; les valider avec les personnes concernées Transmettre au service gestion |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ; RGPD (Art 6) |
Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur. |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients | Identifiants : état civil (nom, prénom, civilité) | Oui | Oui |
| Clients | Identifiants : domicile privé (adresse postale) | Oui | Oui |
| Clients | Identifiants : adresse de messagerie personnelle (email) | Oui | Oui |
| Clients | Identifiants : téléphone privé (portable, fixe) | Oui | Oui |
| Clients | Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Non | Non |
| Clients | Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | Oui |
| Clients | Activités : éléments traités durant l'exécution du contrat | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Tant que l'année fiscale n'est pas terminée (comptabilité clôturée) | -- | -- | Eléments concernant les interventions |
| Tant que le contrat est en cours | -- | -- | Coordonnées des personnes concernées et éléments du contrat |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable obtenu lors d'un traitement connexe |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Informations délivrées lors de la commande (conditions du contrat, CGV) |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | En s'adressant directement au service technique ou en remplissant le formulaire d'exercice des droits |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Oui, un récépissé de la prestation est remise au client à l'issue de l'installation |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Politique de Protection des Données clients, prospects, contacts | Charte engageant l'organisme envers ses clients, prospects et contacts pour la sécurité et la confidentialité de leurs DCP et l'octroi de leur droits | Mesure organisationnelle | |
| L'authentification par mots de passe est conforme aux préconisations de la CNIL | Un identifiant par utilisateur, chaque mot de passe complexe, secret, unique, stocké avec chiffrement | Mesure technologique | |
| Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique | |
| Broyage en cas de fin de vie des documents papiers | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesure physique | |
| Stockage (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesure physique |
| Finalité(s) | Stocker les garanties souscrites |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ; RGPD (Art 6) |
Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Référentiel | Garantie décennale | Les constructeurs ont l'obligation de souscrire une assurance de responsabilité civile décennale. Elle garantit la réparation des dommages qui apparaissent après la réception des travaux. |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients | Identifiants : état civil (nom, prénom, civilité) | Oui | Oui |
| Clients | Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| 2 ans après l'achat (données de garantie pour les biens et services) | -- | -- |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Consentement préalable détenu par un tiers |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Document spécifique "Conditions de garantie" remis lors de l'achat. A l'issue de la garantie, nous envoyons une information et précisions que nous procédons à la suppression des données, à moins que la personne souhaite une extension de garantie |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | La personne peut s'adresser directement au service "SAV" ou remplir le formulaire d'exercice des droits |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Oui, l'entreprise envoie un document de fin de garantie |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Limité |
| Commentaires sur l'impact et la protection |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Filtrage des droits d'accès par profils (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle | Le profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir l’accès aux informations et les actions possibles sur les données (accéder, modifier, copier, imprimer...) |
| Accès aux données via le réseau local | Le poste de l'utilisateur doit être connecté au réseau réseau local (en direct, via VPN, RDP) ou l'utilisateur prend la main à distance sur un tel poste | Mesure organisationnelle | |
| Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle |
31 - Ventes en présentiel
| Finalité(s) | Vente d'articles en magasin - particuliers ou professionnels - sans collecte des données clientèle |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ; RGPD (Art 6) |
Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Droit français | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges : CF legifrance |
|
| Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur. |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients | Economique et financière : carte bancaire (propriétaire, numéro, expiration) | Non | Non |
| Clients | Economique et financière : chèque, nom, adresse, banque, signature | Non | Non |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Tant que l'année fiscale n'est pas terminée (comptabilité clôturée) | 01 Base active | -- | Le temps de l'encaissement pour les durées de chèques et de CB |
| 3 ans (coordonnées prospects et clients) | 01 Base active | -- | Tickets de caisse |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par les conditions générales de vente de l'organisme, quand elles existent et disponibles sur simple demande |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | En s'adressant à l’accueil, le cas échéant à la direction |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Recipient |
Motif |
Données concernées |
|---|---|---|
| Organismes bancaires et financiers | 03 Information du législateur | Dans le cas des paiements par chèque |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Négligeable |
| Impact maximum sur l'organisme | Limité |
| Commentaires sur l'impact et la protection | Les ventes en magasin collectent très peu de traitement de données hormis les moyens de paiement nominatifs. La gestion de la caisse est organisée en conséquence. Les informations CB sont chiffrées et stockées sur des serveurs sécurisés par l'intermédiaire de paiement |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Protection physique des éléments de caisse (chèque & CB) | Mesure physique |
32 - Vente à distance
| Finalité(s) | Enregistrer des commandes depuis son site interne Collecter les informations de livraison Recevoir les paiements en ligne Stocker et archiver les coordonnées et échanges inhérents à la vente |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ; RGPD (Art 6) |
Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| RGPD | Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée (RGPD, art 6-1 b) |
|
| Droit français | Loi Hamon relative à la e-consommation | Loi no 2014-344 du 17 mars 2014 : meilleure information produits, droit de rétractation, de remboursement avec formulaires et délais, code de conduite du marchand |
|
| Droit français | Ventes e-commerce | Code de la consommation L111-L121-L221 pour les obligations et pratiques Code civil – articles 1125 à 1126 et 1127-4 pour les e-contrats - Fiches pratiques : règles applicables au commerce électronique |
https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/E-commerce-regles-applicables-au-commerce-electronique |
| Droit français | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges : CF legifrance |
|
| Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur. |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients | Identifiants : état civil (nom, prénom, civilité) | Oui | Oui |
| Clients | Identifiants : domicile privé (adresse postale) | Oui | Oui |
| Clients | Identifiants : adresse de messagerie personnelle (email) | Oui | Oui |
| Clients | Identifiants : téléphone privé (portable, fixe) | Non | Non |
| Clients | Activités : correspondance ou message par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Non | Non |
| Clients | Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| 3 ans (coordonnées prospects et clients) | 01 Base active | -- | Les données de réservation sont conservées 3 après l'achat ainsi que l'historique d'achat pour la personne ; des statistiques anonymes de vente sont effectuées |
| 5 à 10 ans (données comptables, fiscales, RH) | 03 Archives intermédiaires | -- | Les données comptable et fiscales sont conservées 10 ans |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | La vente est validée via le formulaire de commande internet ; les conditions générales de vente sont présentées et explicitement acceptées par l'internaute lorsqu'il finalise son achat ou sa réservation en cliquant sur le bouton "Finaliser" |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | L'internaute dispose d'un lien "conditions spécifique au produit ou au service vendu", d'un autre lien vers les "conditions générales de vente" et de la Présente Politique de Protection de données, dans lesquels il est informé du traitement de ses données |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | L'internaute peut envoyer un mail à contact@organisme.fr ou en remplir le formulaire "Exercice des droits" à la rubrique "Données personnelles" accessible depuis le site |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Les données collectées font l'objet d'une confirmation par mail ce qui vaut pour la portabilité. A la demande du client, l'organisme peut re-transmettre les données acquises, les éventuelles échanges commerciaux ou demandes de remboursement. |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Recipient |
Motif |
Données concernées |
|---|---|---|
| CNIL | 03 Information du législateur | Sur demande, pour la lutte contre la fraude |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément essentiel pour la confiance des parties, l'organisme délègue auprès auprès d'une plateforme spécialisée le processus de commercialisation de ses produits. Le chiffrement du stockage et des flux garantit la protection des données de bout en bout. |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle | |
| Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
| Données stockées chez un sous-traitant SaaS | Le stockage est hors de l'organisme et les mesures de protection sont garanties par le prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
| L'authentification par mots de passe est conforme aux préconisations de la CNIL | Un identifiant par utilisateur, chaque mot de passe complexe, secret, unique, stocké avec chiffrement | Mesure technologique | |
| Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesure technologique | |
| Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
| Finalité(s) | Recevoir des commandes via des places de marché Collecter des commandes Recevoir les instructions de livraisons Recevoir les paiements |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ; RGPD (Art 6) |
Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| RGPD | Article 6-1b (mesures précontractuelles) | le traitement est nécessaire en prévision de l'exécution d'un contrat, à la demande de la personne concernée (RGPD, art 6-1 b) |
|
| Droit français | Code de la consommation | Information des consommateurs, formation des contrats, opérations de crédit, conformité des produits et services, litiges : CF legifrance |
|
| Droit français | Loi Hamon relative à la e-consommation | Loi no 2014-344 du 17 mars 2014 : meilleure information produits, droit de rétractation, de remboursement avec formulaires et délais, code de conduite du marchand |
|
| Droit français | Ventes e-commerce | Code de la consommation L111-L121-L221 pour les obligations et pratiques Code civil – articles 1125 à 1126 et 1127-4 pour les e-contrats - Fiches pratiques : règles applicables au commerce électronique |
https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/E-commerce-regles-applicables-au-commerce-electronique |
| Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur. |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| La personne enregistrée | Identifiants | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| 3 ans (coordonnées prospects et clients) | 01 Base active | -- | Les données de commande sont conservées 3 après l'achat ainsi que l'historique des achats, retours et demandes effectuées ; des statistiques anonymes de vente sont effectuées |
| 5 à 10 ans (données comptables, fiscales, RH) | 03 Archives intermédiaires | -- | L'organisme archive les informations, documents et fichiers pour répondre à ses obligations légales en matière comptable, fiscale et gestion du personnel (code des impôts, art 3171-16) |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | La vente est validée par la plateforme e-commerce ; ses conditions générales d'utilisation s'appliquent, nos conditions générales de vente sont présentées et explicitement acceptées par l'internaute lorsqu'il finalise son achat ou sa réservation en cliquant sur le bouton "Finaliser" |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Contrat avec les partenaires - CGV pour les clients |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | En s'adressant directement à la plateforme e-commerce via le compte client |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, pas de procédure envisagée |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Important |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément essentiel pour la confiance des parties, l'organisme délègue auprès auprès d'une plateforme spécialisée le processus de commercialisation de ses produits. Le chiffrement du stockage et des flux garantit la protection des données de bout en bout. |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
| Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesure technologique | |
| Filtrage des droits d'accès par profils (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle | |
| Données stockées chez un sous-traitant SaaS | Le stockage est hors de l'organisme et les mesures de protection sont garanties par le prestataire (Datacenter, SaaS..) | Mesure organisationnelle | "Centre de données" : infrastructure composée d’un réseau d’ordinateurs et d’espaces de stockage pour organiser, traiter, stocker et entreposer de grandes quantités de données.<br /> Les sites sont protégés par des normes spécifiques (SOC1, SOC 2, à minima ISO 27001) |
| Finalité(s) | Être place de marché : enregistrer des commandes pour des partenaires, adhérents... Recueillir, partager & transmettre les éléments d'achats issues de commandes d'internautes pour le compte d'entreprises Recevoir des paiements en ligne |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ; RGPD (Art 6) |
Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Droit français | Loi Hamon relative à la e-consommation | Loi no 2014-344 du 17 mars 2014 : meilleure information produits, droit de rétractation, de remboursement avec formulaires et délais, code de conduite du marchand |
|
| Droit français | Ventes e-commerce | Code de la consommation L111-L121-L221 pour les obligations et pratiques Code civil – articles 1125 à 1126 et 1127-4 pour les e-contrats - Fiches pratiques : règles applicables au commerce électronique |
https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/E-commerce-regles-applicables-au-commerce-electronique |
| Droit français | Obligation générale d'information précontractuelle | Code de la consommation : Art L111-1 à L111-8 |
|
| Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur. |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients | Identifiants : état civil (nom, prénom, civilité) | Oui | Oui |
| Clients | Identifiants : domicile privé (adresse postale) | Oui | Oui |
| Clients | Identifiants : adresse de messagerie personnelle (email) | Oui | Oui |
| Clients | Identifiants : téléphone privé (portable, fixe) | Non | Non |
| Clients | Activités : correspondance ou message par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Non | Non |
| Clients | Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| 3 ans (coordonnées prospects et clients) | 01 Base active | -- | l'année en cours, pour les données d'achat et de livraison, puis archivage 3 ans pour les coordonnées de l'acheteur, puis anonymisation |
| 10 ans à compter de la clôture de l'exercice | 03 Archives intermédiaires | -- |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Explicite |
| Méthode(s) de consentement | La personne concernée coche une case d'option lors du processus d'achat pour les CGU du site + une autre pour l'acceptation des CGV |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Par les pages "Conditions Générales de Vente" et "Données personnelles" du site d'achat |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | En faisant la demande par email à commande@organisme.fr ou en remplissant le formulaire d'exercice des droits - La personne concernée peut directement gérer ses informations de contact via son compte ; elle peut également choisir ses options de communication et supprimer celui-ci |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | La personne peut à tout moment faire la demande via le mail commande@organisme.fr |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Recipient |
Motif |
Données concernées |
|---|---|---|
| Transporteurs | 01 Pour traitement(s) connexe(s) | Pour les livraisons |
| CNIL | 03 Information du législateur | Sur demande, pour la lutte contre la fraude |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | La protection des données contractuelles étant un élément essentiel pour la confiance des parties, l'organisme délègue auprès auprès d'une plateforme spécialisée le processus de commercialisation des produits. Le chiffrement du stockage et des flux garantit la protection des données de bout en bout. |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
| Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
| Données stockées chez un sous-traitant SaaS | Le stockage est hors de l'organisme et les mesures de protection sont garanties par le prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
| L'authentification par mots de passe est conforme aux préconisations de la CNIL | Un identifiant par utilisateur, chaque mot de passe complexe, secret, unique, stocké avec chiffrement | Mesure technologique | |
| Flux chiffrés de bout en bout | Le chiffrement des canaux de communication à l’aide de protocoles et de clés protège la confidentialité des échanges pour les services en ligne | Mesure technologique | |
| Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
40 - Administration des ventes
| Finalité(s) | Réception des commandes Collecte et saisie des documents contractuels Enregistrement des coordonnées de la clientèle Transmission des ordres aux services techniques Passation des commandes fournisseurs Suivi de l'exécution des contrats Saisie des éléments sur la base des commandes Préparation à la facturation |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ; RGPD (Art 6) |
Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Référentiel | Gestion des activités commerciales | Référentiel CNIL "Gestion Commerciale" : préconisation concernant les contrats, prospection, comptabilité, statistiques, enquêtes, sav |
|
| Référentiel | Conditions générales de vente | Informations contractuelles liant un vendeur de produits ou de services à son acheteur. |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients | Identifiants : état civil (nom, prénom, civilité) | Oui | Oui |
| Clients | Identifiants : domicile privé (adresse postale) | Oui | Oui |
| Clients | Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Tant que l'année fiscale n'est pas terminée (comptabilité clôturée) | 01 Base active | -- | Devis, commandes, bons de livraison, bon de transport, de livraisons |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Via les CGV, que le client e-commerce valide spécifiquement ou pour un magasin, effectuer un achat emporte l'adhésion pleine, entière et sans réserve du Client aux CGV. |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | En s'adressant directement à l'entreprise ou en remplissant le formulaire d'exercice des droits (rubrique "Données personnelles" du site") |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A car traitement légitime |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | Les activités commerciales (commandes, tarifs, marges) sont un élément clé du patrimoine de l'organisme. Des procédures spécifiques de cloisonnement et de protection sont mises en œuvre |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Filtrage des droits d'accès par profils (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle | |
| Accès aux données via le réseau local | Le poste de l'utilisateur doit être connecté au réseau réseau local (en direct, via VPN, RDP) ou l'utilisateur prend la main à distance sur un tel poste | Mesure organisationnelle | |
| Données stockées chez un sous-traitant SaaS | Le stockage est hors de l'organisme et les mesures de protection sont garanties par le prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
| Stockage (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesure physique | |
| L'authentification par mots de passe est conforme aux préconisations de la CNIL | Un identifiant par utilisateur, chaque mot de passe complexe, secret, unique, stocké avec chiffrement | Mesure technologique |
| Finalité(s) |
Legal basis PDF
No legal basis act(s).Persons and data PDF
No data subjects category/ies linked to personal data categories.Conservation time PDF
Aucun de temps de conservation designé.Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | -- |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | -- |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | -- |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | N/A |
| Impact maximum sur l'organisme | N/A |
| Commentaires sur l'impact et la protection |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|
50 - Gestion et comptabilité
| Finalité(s) | Répondre aux demandes d'informations des tiers (prospects, clients, fournisseurs, ...) reçues par téléphone, mail, via le site (formulaire contact) ou lors des visites à l'accueil Répondre et conserver une copie des réponses Transmettre aux destinataires, le cas échéant, suivre les réponses jusqu'à conclusion |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime (CNIL, bases légales) est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. |
L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
| Droit français | Obligation générale d'information précontractuelle | Code de la consommation : Art L111-1 à L111-8 |
|
| Référentiel | Secret des correspondances privées | Principes s'appliquant aux échanges oraux ou écrits impliquant par leur contenu une certaine intimité (selon appréciation des juges, Code pénal, art 226-15, Directive européenne 97/66, 15/12/1997) Les correspondances professionnelles ne sont pas concernées |
Il est interdit à toute autre personne que les destinataires, d’écouter, surveiller, intercepter, stocker, détourner, retarder ou divulguer les communications, sauf consentement préalable ou autorisation légale. |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| La personne enregistrée | Identifiants : état civil (nom, prénom, civilité) | Oui | Oui |
| La personne enregistrée | Identifiants : domicile privé (adresse postale) | Non | Non |
| La personne enregistrée | Identifiants : adresse de messagerie personnelle (email) | Non | Non |
| La personne enregistrée | Identifiants : téléphone privé (portable, fixe) | Non | Non |
| La personne enregistrée | Activités : correspondance ou message par téléphone, mail, en ligne, courrier (moment, destinataires, contenu...) | Oui | Oui |
| La personne enregistrée | Activités : devis, propositions, essais, négociations | Non | Non |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Tant qu'une procédure est en cours | 03 Archives intermédiaires | -- | pour certains messages ou correspondances constituant des preuves (de décisions, de contrats...) |
| 3 mois après la réponse (suite à une demande) | 01 Base active | -- | archive dans l'outil métier ou suppression si la demande est close |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Les personnes sont informées par la présente politique de protection des données et par un message dans les mails "correspondance respectant les conditions de notre politique de protection des données" |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | La personne pourra s'adresser directement à la direction par tél, mail ou physiquement, ou bien remplir le formulaire de demande de droit disponible depuis le site internet. |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, la personne dispose déjà des données car elle est partie prenante des échanges |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Recipient |
Motif |
Données concernées |
|---|---|---|
| Parties prenantes d'une correspondance | 07 Données anonymes uniquement |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Important |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | L'application du droit au maintien du caractère privé et secret des correspondances s'applique aux courriers postaux et aux courriers électroniques ; de plus leur divulgation à une personne non autorisée peut entrainer des désagréments ou des tensions. En conséquence, l'accès à l'historique des demandes est restreint et des messageries adaptées à chaque usage (service client, logistique, gestion, RH) ont été crées afin de cloisonner l'information. |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Transmission directe et orale de l'information | L'absence de stockage évite des mesures de protection | Mesure organisationnelle | |
| Filtrage des droits d'accès par profils (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle | |
| Données stockées chez un sous-traitant SaaS | Le stockage est hors de l'organisme et les mesures de protection sont garanties par le prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
| Protection de la base de données par le chiffrement | Les enregistrement de la base sont illisibles sans le logiciel ou la clé permettant le déchiffrement | Mesure technologique |
| Finalité(s) | Préparer la facturation en rapprochant les prestations effectuées et les contrats émis Émettre et envoyer la facturation suite aux prestations Recevoir les paiements Relancer le cas échéant Statistiques non nominatives : historique vente par secteur, par article |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1c (obligation légale) | le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis |
|
| Droit français | Facturation, paiements | service-public.fr : N31384 pour la conformité des documents, F23208 pour les processus de facturation ; devis, mentions obligatoires sur une facture, conditions générales de vente entre professionnels (CGV), délais de paiement entre professionnels et pénalités de retard ; Code du commerce : L441-9, l'obligation de la facturation |
Code de commerce : L441-9 Les conditions et sanctions de la facturation |
| Référentiel | Gestion des activités commerciales | Référentiel CNIL "Gestion Commerciale" : préconisation concernant les contrats, prospection, comptabilité, statistiques, enquêtes, sav |
|
| Référentiel | Gestion des impayés | CNIL referentiel-gestion-impayes.pdf |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients | Identifiants : état civil (nom, prénom, civilité) | Non | Non |
| Clients | Activités : éléments de vente (adresses de livraison, historiques achats, échéances, remises, paiement, retours) | Oui | Oui |
| Clients | Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Tant que l'année fiscale n'est pas terminée (comptabilité clôturée) | -- | -- | |
| 10 ans à compter de la clôture de l'exercice | -- | -- | à compter de la clôture de l'exercice Art L123-22 |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Essentiellement via la présente politique de protection des données |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | S'agissant d'un traitement légal, les droits sont principalement réduit à l'accès aux données. Les personnes peuvent s'adresser au service gestion, ou remplir le formulaire d'exercice des droits depuis le site internet |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non, cependant les personnes reçoivent systématiquement une copie de l'ebnsemble des données de facturation |
Acteurs internes
| 01 Direction | |
| 04. Comptabilité (3) |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Recipient |
Motif |
Données concernées |
|---|---|---|
| Cabinet comptable, social, juridique | 04 Statistiques en rapport avec la finalité | Éléments partagés dans le cadre de la révision comptable |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | La facturation, les informations de vente et les statistiques de facturation constituent des éléments de grande valeur pour la direction de l'entreprise |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Accès aux données via le réseau local | Le poste de l'utilisateur doit être connecté au réseau réseau local (en direct, via VPN, RDP) ou l'utilisateur prend la main à distance sur un tel poste | Mesure organisationnelle | |
| Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle |
| Finalité(s) | Effectuer les opérations administratives liées aux contrats, aux commandes, aux réceptions, aux factures, aux règlements Entretenir une base fournisseurs (coordonnées, contacts, historiques d'achats, documentations) Établir des statistiques financières et de chiffre d'affaires par fournisseur Fournir des sélections de fournisseurs Gérer l’exécution financière des dépenses de l'entreprise et le suivi de budgets hors dépense de personnel |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1b (contrat) | le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ; RGPD (Art 6) |
Il contient les mentions obligatoires relatives à l'objet, à la durée de conservation et purge, aux finalités, à la nature du traitement, au type de données à caractère personnel et aux catégories de personnes concernées. |
| Référentiel | Code de commerce | Obligations légales entre commerçants ou entre commerçants et non-commerçants Obligations constitutives et déclaratives des sociétés commerciales, organisation du commerce Formes de ventes, prix, concurrence, garanties | |
| Référentiel | Fichiers de fournisseurs | CNIL Norme DI 04 concernant les fichiers fournisseurs et la prospection commerciale |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Fournisseurs, partenaires, cotraitants | Identifiants : état civil (nom, prénom, civilité) | Oui | Oui |
| Fournisseurs, partenaires, cotraitants | Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Oui | Oui |
| Fournisseurs, partenaires, cotraitants | Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | Oui |
| Prestataires, consultants | Identifiants : état civil (nom, prénom, civilité) | Oui | Oui |
| Prestataires, consultants | Activités : éléments de vente (n° commande, bl, facture, date, liste de produits ou services, quantités, prix) | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Tant que l'année fiscale n'est pas terminée (comptabilité clôturée) | 01 Base active | Archivage | bons de commande, bons de livraison, lettres de facture, factures |
| 10 ans à compter de la clôture de l'exercice | 03 Archives intermédiaires | Suppression | pour tous les documents et informations justificatifs des achats |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Obligation légale Respect des CGV |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Les Conditions Générales de Vente, les Conditions Générales d'Utilisation ou les contrats et conventions spécifiques régissent les relations des parties, les les échanges de données, et éventuellement les personnes autorisées à accéder aux informations. |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | Les employés des tiers en contact avec l'organisme ne peuvent faire valoir l’exercice d'un droit que par l'intermédiaire de leur employeur. Les organismes mettent en œuvre des systèmes d'anonymisation lorsque le besoin s'en fait sentir. |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | non, sauf spécifications contraire entre les parties |
Acteurs internes
| 04. Comptabilité (3) |
Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Recipient |
Motif |
Données concernées |
|---|---|---|
| Parties prenantes d'une correspondance | 02 Information d'une partie prenante | |
| Administrations et organismes d'état | 03 Information du législateur | Déclarations fiscales et éléments comptables |
| ANSSI | 04 Statistiques en rapport avec la finalité | Révision comptable |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | La protection des fichiers fournisseurs, des prix et des volumes d'achat est une préoccupation importante de chaque organisme. L'accès est donc réservé aux seules personnes habilitées |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Filtrage des droits d'accès par profils (attribués par groupe ou individuellement) | Un profil correspond à un ensemble de droits, qu’il est possible de paramétrer très finement pour définir quelles informations sont accessibles et quelles actions son possibles (lire, modifier, copier, imprimer...) | Mesure organisationnelle | |
| Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
| Données stockées chez un sous-traitant SaaS | Le stockage est hors de l'organisme et les mesures de protection sont garanties par le prestataire (Datacenter, SaaS..) | Mesure organisationnelle | |
| L'authentification par mots de passe est conforme aux préconisations de la CNIL | Un identifiant par utilisateur, chaque mot de passe complexe, secret, unique, stocké avec chiffrement | Mesure technologique |
| Finalité(s) | Encaisser ou suivre les paiements clients et effectuer les relances Saisir la comptabilité générale client |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1c (obligation légale) | le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis |
Persons and data PDF
No data subjects category/ies linked to personal data categories.Conservation time PDF
Aucun de temps de conservation designé.Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | -- |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | -- |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | -- |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
--| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | -- |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | N/A |
| Impact maximum sur l'organisme | N/A |
| Commentaires sur l'impact et la protection |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|
| Finalité(s) | Émettre des paiements fournisseurs et tiers Suivre les comptes bancaires, la trésorerie Déclarer les comptes auprès des services fiscaux, les publier |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1c (obligation légale) | le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis |
L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
| Référentiel | Comptabilité | CNIL, Délibération relative au traitement automatisé de la comptabilité générale |
|
| Référentiel | Délais de conservation et d'archivage des documents pour les entreprises | Une entreprise doit conserver tout document émis ou reçu dans l'exercice de son activité pendant une durée minimale. Ce délai varie selon la nature des papiers et les obligations légales. L'entreprise peut aussi archiver les documents plus longtemps, sauf s'ils contiennent des données personnelles. Pendant ce délai, l'administration peut mener des contrôles. | |
| Référentiel | Gestion des impayés | CNIL referentiel-gestion-impayes.pdf |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Clients | Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Non | Non |
| Clients | Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) | Oui | Oui |
| Fournisseurs, partenaires, cotraitants | Identifiants : coordonnées professionnelles (organisme, poste, tél, mail) | Non | Non |
| Fournisseurs, partenaires, cotraitants | Activités : éléments comptables (nom, date, famille produits, montants, prix, règlements) | Oui | Oui |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| Tant que l'année fiscale n'est pas terminée (comptabilité clôturée) | 01 Base active | Archivage | l'année en cours jusqu'à clôture de la comptabilité, pour les documents et fichiers, puis transfert aux archives |
| 10 ans à compter de la clôture de l'exercice | 03 Archives intermédiaires | Suppression | |
| 10 ans au moins (Comptes annuels (bilan, compte de résultat et annexes) / Comptes sociaux) | 03 Archives intermédiaires | Archivage | à compter de la clôture de l’exercice considéré (Article L. 123-22) |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel Obligation légale |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Pas d'information particulière autre que la Politique de Protection |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | Pas de droits particuliers sur ce traitement |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | N/A |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Recipient |
Motif |
Données concernées |
|---|---|---|
| ANSSI | 04 Statistiques en rapport avec la finalité | Contrôle de gestion |
| CNIL | 03 Information du législateur | Déclarations fiscales |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Oui |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | Les données comptables sont confidentielles car elles contiennent des informations sensibles sur l'activité de l'organisme (CA des clients, CA des fournisseurs, marges, rémunérations des employés et dirigeants). L'organisme a mis en place des procédures physiques, organisationnelles et techniques pour protéger ses documents et logiciels comptables |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
| Isolation des données : configuration du partage de fichiers | Organisation des ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans les mêmes dossiers | Mesure organisationnelle | |
| Broyage en cas de fin de vie des documents papiers | Le destructeur garantie que les documents ou archives papiers ne puissent être divulgués par négligence ou par malveillance après leur utilisation | Mesure physique | |
| Accès aux données via le réseau local | Le poste de l'utilisateur doit être connecté au réseau réseau local (en direct, via VPN, RDP) ou l'utilisateur prend la main à distance sur un tel poste | Mesure organisationnelle | |
| L'authentification par mots de passe est conforme aux préconisations de la CNIL | Un identifiant par utilisateur, chaque mot de passe complexe, secret, unique, stocké avec chiffrement | Mesure technologique | |
| Stockage (pièce, armoire, tiroir) fermé à clé | L'accès aux documents ou au support numérique nécessite une clé ou un code afin que seules les personnes habilitées puissent y accéder | Mesure physique |
| Finalité(s) | Gestion du portail d'entrée : les numéros de téléphone des personnes entrantes est requis Fournir les dispositifs d'entrée aux employés comme aux visiteurs. Mettre en œuvre une surveillance vidéo - pour intervenir plus efficacement en cas de détresse d'une personne - assurer la sécurité des biens et des personnes - prévenir le vol en dissuadant les personnes - en cas de constat, aider à la preuve |
Legal basis PDF
Type |
Désignation |
Contenu |
Commentaire |
|---|---|---|---|
| RGPD | Article 6-1f (intérêts légitimes) | Un traitement légitime (CNIL, bases légales) est inhérent à la mission d'un organisme privé ; il est réalisé dans un intérêt mutuel et ne prévaut pas sur les libertés et droits fondamentaux de la personne concernée. Il concerne notamment les opérations de sécurité des données, la gestion interne des informations clients ou usagers, la lutte contre la fraude ou les opérations de prospection entre professionnels. |
L'intérêt doit être licite au regard du droit, clair, précis, réel et présent pour l'organisme. Sauf exception, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. |
| Référentiel | La vidéosurveillance-vidéoprotection au travail | RGPD Article 13 CNIL La vidéosurveillance-vidéoprotection au travail | |
| Référentiel | Systèmes de videosurveillance | Arrêté du 3 août 2007 portant définition des normes techniques des systèmes de vidéosurveillance. | |
| Référentiel | Code de la sécurité intérieure, vidéo surveillance | Code sécurité intérieure : Art L223-1, art. L251-1, L613-13, R223-2, R521-7, R253-3 | Le Code de la sécurité intérieure ou CSI est, en droit français, un code juridique créé en 2012 pour regrouper l'ensemble des dispositions législatives et réglementaires ayant trait à la sécurité intérieure. |
Persons and data PDF
Catégorie de personnes |
Catégories de données |
Obligatoire |
Sensible selon le RGPD |
|---|---|---|---|
| Personne physique (particulier) | Activités : film (vidéo vidéoprotection, vidéo-surveillance) | Oui | Oui |
| Employés de l'organisme | Activités : film (vidéo vidéoprotection, vidéo-surveillance) | Non | Non |
Conservation time PDF
Durée de conservation |
Type de stockage |
Action en fin de période |
Commentaire |
|---|---|---|---|
| 24 h à 3 mois | -- | -- | Effacement automatique sauf en cas de rétention |
| Tant qu'une procédure est en cours | -- | -- | Pour la conservation de preuves dans le cas d'une plainte , puis effacement manuel |
Rights PDF
| Y a-t-il une procédure de consentement explicite (sinon : implicite) | Implicite |
| Comment les personnes concernées donnent-elles leur accord à ce traitement ? | Traitement légitime ou pré-contractuel |
| Comment l'information est délivrée ? (mentions, document joint, lien internet, affiche, …) | Affichage légal : présence de xxx panneaux indiquant la vidéo surveillance, la durée de conservation des images, qui peut les consulter |
| Quels droits s'exercent (accès, correction, limitation, opposition) ; par quelles méthodes ? | Les panneaux indiquent les coordonnées du service à contacter pour exercer ses droits + l'existence du formulaire d'exercice des droits disponible sur le site |
| En fin de traitement, l'organisme envisage-t-il une procédure de portabilité ? | Non (traitement légitime et automatisé) |
Acteurs internes
--Sous-traitants (autres organismes ayant accès aux données)
--Destinataires externes (personnes ou organismes destinataires de tout ou partie des données)
Recipient |
Motif |
Données concernées |
|---|---|---|
| Administration, organisme d'état, service public | 03 Information du législateur | En cas de contentieux |
| Lieux du traitement (collecte, stockage..) : France / U.E / hors U.E | France |
Data security and confidentiality PDF
| Ce traitement peut-il être perçu comme sensible ? | Non |
| Ce traitement permet-il un profilage ? (RGPD, art 4) | Non |
| Impact maximum sur les personnes concernées | Limité |
| Impact maximum sur l'organisme | Important |
| Commentaires sur l'impact et la protection | Si ces outils sont légitimes pour assurer la sécurité des biens et des personnes, ils ne peuvent pas conduire à placer les employés sous surveillance constante et permanente ; le visionnage est restreint aux seules personnes habilitées par l'organisme |
General security measures
Désignation |
Contenu |
Type |
Commentaire |
|---|---|---|---|
| Cloisonnement : compte(clé) dédiée à cette seule ressource | Le mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources | Mesure organisationnelle | |
| Protection physique des accès aux locaux et aux postes informatiques | Mise en œuvre de mesures appropriées et spécifiques (alarmes, serrures et autres contrôles physiques) permettant de conditionner l’accès aux locaux, aux équipements numériques et aux supports de données | Mesure physique | |
| Gardiennage des locaux | Mesure physique | ||
| Le compte nécessite une authentification multi facteur (MFA) | L’authentification multifacteur est obligatoire : message texte envoyé à un téléphone, appel téléphonique, application ou clé d'authentification | Mesure technologique | |
| Isolation des données : utilisation de canaux dédiés | Organisation des ressources (logicielles, mails, ...) de manière à ce que les données ayant les mêmes exigences de sécurité se trouvent dans une seule application | Mesure organisationnelle |