CHARTE DE PROTECTION DES DONNÉES – ACTION POSITIVE
ACTION POSITIVE s’attache à assurer la protection des données personnelles des Utilisateurs de ses Sites internet / applications dans les meilleures conditions. Dès lors, ACTION POSITIVE s’engage à respecter la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par le Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des données personnelles. Aussi les engagements décrits dans la présente charte de protection des données personnelles répondent aux valeurs et aux principes de comportement d’ACTION POSITIVE. En s’inscrivant sur l’un des Sites Internet / Applications d’ACTION POSITIVE, l’Utilisateur accepte la collecte et l’utilisation de ses données personnelles de la manière décrite dans la présente Charte de protection des données. La présente Charte de protection des données à caractère personnel décrit de quelle manière ACTION POSITIVE traite les données personnelles des Utilisateurs. Cette charte s’applique également aux autres canaux de collecte des données à caractère personnel, notamment téléphone / mail lorsque l’Utilisateur contacte ACTION POSITIVE. Les présentes dispositions portent sur les traitements de données personnelles dont ACTION POSITIVE est responsable de traitement, conformément au Règlement Général sur la Protection des Données. Cette Charte s’applique en complément : - des dispositions des Conditions Générales d’Utilisation d’ACTION POSITIVE ;
- des informations spécifiques à chaque nouveau traitement, accessible sur les supports adaptés (ex : formulaires en ligne…) ;
Elle pourra être modifiée à tout moment, afin notamment de se conformer à toutes évolutions réglementaires, jurisprudentielles, et/ou techniques. Pour toute question relative à cette Charte de protection des données personnelles comme à l’exercice de vos droits, vous pouvez adresser au DPO tel que défini dans la présente charte aux adresse indiquées dans la présente charte. 1 - Définitions Pour les besoins de la présente annexe et nonobstant toute autre définition prévue dans les CGU ACTION POSITIVE, les présents termes commençant par une majuscule, qu’ils soient au singulier ou au pluriel, ont la signification suivante : Donnée à caractère personnel : toute information relative à une personne physique identifiée ou identifiable, c’est-à-dire qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Traitement de données à caractère personnel : toute opération ou tout ensemble d’opérations portant sur de telles données, par quelque procédé que ce soit (collecte, enregistrement, organisation, conservation, modification, extraction, consultation, transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, ainsi que le verrouillage, l’effacement ou la destruction). Cookie : information déposée sur le disque dur d’un internaute par le serveur du site qu’il visite. Il peut contenir plusieurs données : le nom du serveur qui l’a déposé, un identifiant sous forme de numéro unique, éventuellement une date d’expiration. Ces informations sont parfois stockées sur l’ordinateur dans un simple fichier texte auquel un serveur accède pour lire et enregistrer des informations. Collectivité Locale Partenaire : Toute collectivité locale susceptible d’acheter les services d’ACTION POSITIVE et notamment les villes (mairies), les départements, les régions, les SPIC (services public industriels et commerciaux), les EPCI (Etablissements Publics de Collaboration) et toute société exerçant un service public pour le compte de l’Etat ou de toute autre collectivité locale.Client : Toute organisation susceptible d’acheter les services d’ACTION POSITIVE et notamment les entreprises, universités, écoles, et associations. Utilisateur : Toute personne ayant créé un compte sur l’un des sites / application d’ACTION POSITIVE 2 - Responsable du Traitement - DPO ACTION POSITIVE a désigné un Data Protection Officer qui peut être contacté à l’adresse suivante : secu-data@linka.eco. 3 – Données collectées ACTION POSITIVE collecte les données à caractère personnel des Utilisateurs afin de leur proposer des services spécifiques et de leur proposer de réaliser des défis autour de l’écologie Pour ensuite anonymiser les données pour les proposer aux Collectivités Locales Partenaires contre rémunération afin de favoriser la transition écologique au niveau des territoires, et plus généralement afin de leur permettre de mieux répondre aux besoins de leurs administrés en matière d’écologie; ou pour les proposer aux Clients contre rémunération afin de réduire l’empreinte écologique de leur organisation et plus généralement afin de leur permettre de mieux répondre aux besoins de leur communauté.. Le caractère obligatoire ou facultatif des données renseignées est signalé lors de la collecte par ACTION POSITIVE. Les données à caractère personnel qui peuvent être collectées par ACTION POSITIVE sont : - Votre prénom, nom, e-mail, code postal ;
- Pseudonyme ;
- Age ;
- Informations relatives à la vie personnelle (ex : présence d’enfants dans le foyer, utilisation d’une voiture, régime végétarien ou végétalien) ;
- Données de suivi connexion (adresse IP, cookies…).
4 – Finalité du traitement de données personnelles & base légale du recueil de données ACTION POSITIVE veille à déterminer de façon explicite les finalités pour lesquelles elle recueille des données à caractère personnel, et à ne collecter que les données personnelles strictement nécessaires à la finalité dudit traitement. Ces finalités sont respectées pendant toute la durée de vie du traitement. Pour chaque traitement de données, une information spécifique est réalisée au niveau du dispositif afin d’informer la personne concernée de cette finalité du traitement, de sa base légale, les données collectées, les destinataires ou catégories de destinataires des données, les durées de conservation, l’exercice des droits des personnes concernées sur leurs données et la manière dont elles peuvent exercer ces droits. S’il est envisagé d’utiliser les données collectées pour des finalités autres que celles pour lesquelles elles ont été initialement collectées, les personnes concernées en seront préalablement informées, et doivent donner leur accord. Le consentement de l’Utilisateur sera notamment demandé lorsqu’ACTION POSITIVE souhaitera partager avec les Collectivités Locales Partenaires des données non anonymisées (mail, nom, prénom). Aucune donnée personnelle non anonymisée ne pourra être transmise aux Collectivités Locales partenaires sans le consentement express de l’Utilisateur. En acceptant le présent document, l’Utilisateur consent à ce que les données non anonymisées (mail, nom, prénom) puissent être partagées auprès de son organisation, dans le cas où celle-ci serait devenue Client d’Action Positive, et sous réserve que celle-ci ait reçu un second consentement de la part de l’Utilisateur ; afin de favoriser la collaboration écologique entre ceux-ci. Certaines données pourront également être traitées, moyennant recueil du consentement express de l’Utilisateur. Les finalités pour lesquelles ACTION POSITIVE traite les données sont les suivantes : - La gestion de la relation avec les Utilisateurs,
- La proposition de défis liés à l’écologie aux Utilisateurs,
- Transmission de données anonymisées et d’analyses statistiques anonymisées aux Collectivités Locales Partenaires ou aux Clients, incluant notamment les réponses anonymisées aux questions préalables à l’inscription sur l’application mobile Linka,
- Transmission de données non anonymisées (noms prénoms mail) aux Collectivités Locales Partenaires, sous réserve d’avoir reçu le consentement préalable de l’Utilisateur,
- Transmission de données non anonymisées (noms prénoms mail) aux Clients, associées aux défis effectués et aux besoins exprimés, sous réserve que le Client ait reçu le consentement préalable de l’Utilisateur, afin que le Client puisse identifier les vainqueurs des primes potentielles et les demandeurs en son sein,
- Etablissement d’un classement entre les Utilisateurs réalisant les défis, sous réserve d’avoir reçu le consentement préalable de l’Utilisateur pour apparaitre dans le classement étant précisé que seul le pseudonyme sera visible dans le classement,
- Etablissement d’un classement entre les Utilisateurs d’un Client réalisant les défis dans lequel le nom et le prénom seront visibles exclusivement par le(s) responsable(s) du jeu de ce Client, sous réserve que le Client ait reçu le consentement préalable des Utilisateurs, afin que le(s) responsable(s) du jeu de ce Client puisse identifier les vainqueurs des primes potentielles,
- La gestion de l’activation et de l’animation marketing des Sites internet / applications,
- Plus généralement toute finalité visée à l’article 2 de la Délibération n°2012-209 du 21 juin 2012 portant création d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion des utilisateurs et de prospects.
Pour les finalités suivantes, vos données sont nécessaires aux fins des intérêts légitimes poursuivis par ACTION POSITIVE : - Analyses statistiques ;
- L’envoi ponctuel d’invitations ;
- Les mises à jour de notre fichier Utilisateurs ;
- Sondages effectués par les Collectivités Locales Partenaires sur le site/application
5 - Destinataire des données et moyens de collecte des données Les données à caractère personnel collectées sont destinées à ACTION POSITIVE. Elles peuvent, sous réserves de satisfaire aux finalités exposées ci-dessus, être transmises aux sociétés sous-traitantes auxquelles ACTION POSITIVE peut faire appel dans le cadre de l’exécution de ses services. Dans ce cadre, les données à caractère personnel sont hébergées en France, et ne peuvent en aucun cas faire l’objet d’un transfert vers un pays membre de l’Union Européenne ou non. A l’exception des actions commerciales menées avec les Collectivités Locales Partenaires ou avec les Clients, en aucun cas ACTION POSITIVE ne cède ni ne loue les données à caractère personnel à des tiers n’étant pas prestataire de l’entreprise (hébergeur / développeur web / etc). Toutefois, la divulgation des données à caractère personnel à des tiers pourra intervenir dans les cas suivants : - Sur autorisation expresse de la part des personnes définies par les données ;
- Sur demande des autorités légalement compétentes, sur réquisition judiciaire, ou dans le cadre d’un contentieux judiciaire ;
Moyens de collecte : Les données personnelles peuvent être collectées : - Lors de l’ouverture d’un compte Utilisateur suite à la demande de l’Utilisateur (renseignement de formulaire(s) d’informations, collecte des documents nécessaires au(x) service(s) souscrit(s)…)
- Lors de la mise à jour du profil de l’Utilisateur
- Lorsque l’Utilisateur renseigne le bandeau « Contactez-nous » sur le site internet ou l’application ;
- Automatiquement lors de la visite de l’Utilisateur sur le site internet ou l’application (url de navigation, cookies…) lorsque l’Utilisateur a consenti à la collecte de cookies
- Automatiquement lors de la connexion de l’Utilisateur à son compte client sur le site internet ou l’application (identifiants de connexion…).
6 – Durée de conservation des données Les durées de conservation des données à caractère personnel collectées par ACTION POSITIVE peuvent varier en fonction des traitements et sont encadrées par : - La durée nécessaire à l’accomplissement de la finalité ;
- Une durée de conservation légale ;
- Une durée déterminée pour des raisons réglementaires ou de contrôle.
À l'issue de cette durée de conservation, ces données sont archivées, supprimées ou anonymisées, selon les prescriptions de la CNIL et dans le respect de la préservation de l’exercice des droits des personnes en lien avec les durées de prescription et de conservation légales pour des raisons strictement limitées et autorisées par la loi. D’après l’article 5 de la délibération n° 2016-264 du 21 juillet 2016 (NS-048) : « Les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale. Toutefois les données permettant d’établir la preuve d’un droit ou d’un contrat, ou conservées au titre du respect d’une obligation légale, peuvent faire l’objet d’une politique d’archivage intermédiaire pour une durée n’excédant pas la durée nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur. » Selon les normes en vigueur, tout document émis ou reçu par une entreprise dans l’exercice de son activité doit être conservé pendant certaines durées minimales pendant lesquelles l’administration peut mener des contrôles à posteriori. Ces délais de prescription sont établis par différents textes de référence en fonction de la nature des papiers à conserver et des obligations légales qui s’y rapportent. Depuis la mise en œuvre du RGPD, tout document évoqué dans le paragraphe ci-dessus et comprenant des données à caractère personnel sur des personnes physiques ne doit pas voir sa durée de conservation maximale dépasser ces délais de prescription. Les durées de conservations exposées dans le tableau ci-dessous sont donc les durées de conservation d’archivage intermédiaire minimales ET maximales de tout document comportant des données personnelles de personne physique : Données Utilisateurs - Catégories de données et documents associés : Données personnelles des comptes Utilisateurs
- Durée de conservation : 5 ans
- Texte de référence : Article 110-4 du code de commerce
- Catégories de données et documents associés : Données de connexion aux comptes Utilisateurs
- Durée de conservation : Durée nécessaire à la gestion de la relation avec l’Utilisateur
- Texte de référence : Article 5 de la délibération n°2016-264 de 21-07-2016
Données Utilisateurs potentiels - Catégories de données et documents associés : Données d’identification et contact (nom / prénom / ville / Mail / etc…)
- Durée de conservation : 3 ans à compter de leur collecte par le DPO ou du dernier contact émanant de l’Utilisateur potentiel
- Texte de référence : Article 5 de la délibération n°2016-264 de 21-07-2016
- Catégories de données et documents associés : Données de navigation et cookies à travers le site internet
- Durée de conservation : 1 an
- Texte de référence : Article 5 de la délibération n°2016-264 de 21-07-2016
Précisions concernant les cookies : Les sites / applications d’ACTION POSITIVE peuvent implanter des cookies dans l’ordinateur, le smartphone ou la tablette de l’Utilisateur. Un cookie est un petit fichier texte qui est transféré sur l’ordinateur, smartphone ou tablette de l’Utilisateur par le biais de son navigateur internet. Il est enregistré sur le disque dur de son terminal lorsqu’il visite nos sites / applications. Les cookies permettent à ACTION POSITIVE de reconnaître l’Utilisateur lors de ses visites suivantes sur le site, de lui proposer un contenu susceptible de l’intéresser mais ne permettent pas de l’identifier. Il crée simplement un numéro aléatoire qui enregistre des informations relatives à la navigation de l’ordinateur ou du terminal sur le site. La durée de conservation de ces informations est de 1 an à compter de l’enregistrement des données. L’Utilisateur peut s’opposer à l'enregistrement de "cookies" en configurant le navigateur selon la procédure propre à chaque navigateur. Néanmoins, le cookie est indispensable au bon fonctionnement des services du site. Ainsi, si l’Internaute paramètre son ordinateur de telle manière qu’aucun cookie ne s’y implante, certaines fonctionnalités du site / application ne pourront être disponibles. 7 – Droit des Utilisateurs Conformément à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par le Règlement Européen 2016/679 du 27 Avril 2016 relatif à la protection des données personnelles, l’Utilisateur dispose d’un ensemble de droits pour la gestion de ses données. L’Utilisateur concerné par un traitement de ses données dispose d'un droit d'accès, de rectification, de limitation, et de portabilité des informations qui le concerne. Il peut également, pour des motifs légitimes, s’opposer au traitement, demander l’effacement des données le concernant, ou retirer son consentement à tout moment, sauf si ces droits ont été écartés par une disposition législative. Droit à l’information (art. 13 RGPD) ACTION POSITIVE collecte des informations concernant l’Utilisateur et doit lui fournir une information claire sur l’utilisation de ses données et l’exercice de ses droits. Droit d’accès (art. 15 RGPD) L’Utilisateur concerné peut demander des informations sur les données personnelles qu’ACTION POSITIVE détient le concernant et obtenir gratuitement une copie de ces informations. Droit de rectification (art. 16 RGPD) L’Utilisateur concerné peut à tout moment demander que ses données personnelles soient rectifiées si celles-ci sont inexactes, complétées ou mises à jour. Droit à l’effacement ou droit à l’oubli (art. 17 RGPD) L’utilisateur concerné peut, à tout moment, demander l’effacement de ses données personnelles traitées, sous réserve des exceptions prévues à l’article 17.3 du RGPD, lorsque : - Ces données ne sont plus nécessaires à la finalité du traitement pour lesquelles elles ont été collectées,
- L’Utilisateur concerné retire son consentement sur lequel le traitement est fondé et il n’existe pas d’autre fondement juridique pour poursuivre le traitement,
- L’utilisateur concerné exerce son droit d’opposition au traitement et il n’existe pas de motif légitime impérieux permettant de poursuivre le traitement
- Ces données doivent être effacées pour respecter une obligation légale,
- Ces données sont liées à un traitement illicite,
- Ces données sont collectées pour un service s’adressant à des mineurs, et majeurs protégés.
Droit de limitation du traitement (art. 18 RGPD) L’Utilisateur peut demander qu’ACTION POSITIVE stocke ses données mais en limite l’utilisation, le temps de la vérification de l’exactitude ses données ou de la licéité du traitement contesté, ou le temps de la mise en balance entre ses intérêts et ceux du responsable de traitement, ou lorsque la conservation des données n’est plus indispensable mais que la personne concernée s’oppose à l’effacement de ses données. Droit à la portabilité (art. 20 RGPD) L’Utilisateur peut demander, sous réserve des exceptions prévues, à récupérer les données personnelles qu’il a fourni, et qui sont traitées avec son consentement ou pour l’exécution d’un contrat ou de façon automatisée. Droit d’opposition et de retrait de consentement (art.21 RGPD) L’Utilisateur peut s’opposer, pour des raisons tenant à sa situation particulière, au traitement de ses données personnelles, à moins qu’ACTION POSITIVE ne présente des motifs légitimes et impérieux pour le traitement ou que le traitement est indispensable pour la constatation, l'exercice ou la défense de droits en justice. Droit de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage (art. 22 RGPD) L’Utilisateur peut s’opposer à la prise d’une décision fondée exclusivement sur un traitement automatisé, produisant des effets juridiques le concernant ou l’affectant de manière significative. L’Utilisateur peut également formuler des directives relatives au sort de ses données après son décès. Exercice des droits de l’Utilisateur ACTION POSITIVE met en œuvre les moyens pour faciliter et garantir l’exercice des droits des personnes dont les données sont traitées. Dans ce cadre, ACTION POSITIVE a désigné un DPO qui reçoit les demandes d'exercice des droits des personnes sur le traitement de leurs données, et a créé une adresse unique pour les réclamations. Ces demandes peuvent être adressées : Soit par voie électronique à : secu-data@linka.eco en précisant en entête du message, l’objet de la demande [ex : droits sur les données personnelles] Soit par courrier postal à l’adresse suivante : SAS ACTION POSITIVE - A l’attention du DPO -23 rue Gramme 75015 Paris. Il est précisé que lorsque la personne concernée présente une demande sous une forme électronique, les informations de réponse sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement. Lorsque la communication des informations se fait par un autre support, elle est sans frais pour le demandeur. Les données personnelles qui seront communiquées dans le cadre de l'exercice d’un droit d'accès le seront à titre personnel et confidentiel. A ce titre, pour qu’une demande d’accès soit prise en compte, elle doit être accompagnée d’un justificatif d’identité. ACTION POSITIVE est aussi susceptible de solliciter des informations complémentaires pour répondre à l’exercice d’un droit des personnes sur leurs données personnelles. Dans tous les cas, ACTION POSITIVE s’efforcera de donner une suite à la demande dans un délai raisonnable et en tout état de cause, dans les délais fixés par la Loi. Enfin, et en cas de réponse insatisfaisante, les personnes peuvent introduire une réclamation auprès de la CNIL (Commission Nationale Informatique et Liberté, 3 place Fontenoy – TSA 80715 – 75334 Paris ceddex, www.cnil.fr).8 – Sécurité ACTION POSITIVE a pris toutes précautions utiles pour préserver la sécurité des données à caractère personnel et, notamment, empêcher qu’elles soient déformées ou endommagées ou que des tiers non autorisés y aient accès. Toute question à propos de la sécurité de vos données stockées sur notre serveur et/ou des sites internet linka.eco, app.linka.eco, app.actionpositive.fr, app.actionpositive.fr/accueil-entreprise peut être adressée à secu-data@linka.eco ; Toutefois ACTION POSITIVE n’a qu’une obligation de moyens concernant la sécurisation des données à caractère personnel et doit mettre tous les moyens techniques en sa possession pour assurer ladite sécurité. En aucun cas il ne s’agit d’une obligation de sécurité. En tant que responsable de traitements, ACTION POSITIVE, s’engage à mettre en œuvre les moyens techniques et organisationnels appropriés pour garantir de façon permanente un niveau de protection adapté contre les risques d’atteinte à la vie privée des personnes dont elle traite les données et les risques d’altération, destruction, d’utilisation illicite, divulgation ou accès non autorisé de leurs données personnelles. Les personnels d’ACTION POSITIVE sont formés et sensibilisés à la confidentialité des données à caractère personnel. 9 – Modification de la politique de confidentialité ACTION POSITIVE se réserve le droit de faire évoluer la présente Politique de Confidentialité afin de se conformer aux modifications des lois et règlementations en vigueur. Les modifications apportées seront notifiées via notre site web ou par email. 10 – Loi et juridiction applicable La présente charte relative à la protection de vos données personnelles est régie par la loi française. Tout litige à son sujet relèverait de la compétence exclusive des tribunaux français. Date de dernière mise à jour : 19 août 2024