FAQ-GDPR

1. Nouvelle réglementation sur la protection des données personnelles (GDPR - General Data Protection Regulation) : c’est quoi ?

A partir du 25 mai 2018, le règlement général sur la protection des données (GDPR – General Data Protection Regulation) sera applicable dans tous les pays membres de l’Union Européenne. Ce texte est consacré à la protection des personnes physiques et concerne plus particulièrement le traitement des données à caractère personnel.

Le règlement général précité vise à accorder aux citoyens européens plus de contrôle sur leurs données personnelles, à responsabiliser d’avantage les entreprises et à renforcer le rôle des autorités locales de protection des données (CNPD – Commission Nationale de la Protection des Données au Luxembourg).

2. A qui s’adresse cette notice?

Le GDPR s’applique aux traitements de données personnelles des personnes physiques vivantes. Dans le cas du groupe Encevo (avec ses entités Enovos et Creos), il s’agit notamment de nos clients et ex-clients, prospects, employés et ex-employés, candidats, fournisseurs, partenaires, etc.

Toute personne dont les données personnelles font l’objet d’un traitement par le groupe Encevo peut trouver des informations complémentaires sur ces traitements dans la présente notice.

3. Qu’entend-t-on par “données personnelles” et “traitement” ?

 "Donnée personnelle" ou données à caractère personnel:

  • toute information relative à une personne physique identifiée ou identifiable («personne concernée»);
  • une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique;

 "Traitement"

  • toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, notamment : collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, récupération, consultation, utilisation, divulgation / transmission, diffusion et mise à disposition, alignement ou combinaison, restriction, effacement ou destruction.

4. Quelles données personnelles traitons-nous?

a. Données personnelles transmises directement par la personne concernée

Nous traitons les données personnelles que vous nous transmettez. Cela peut se faire par téléphone (par exemple, lorsque vous téléphonez au service clientèle pour poser une question ou pour signaler une panne), par écrit (par exemple, lorsque vous complétez un formulaire de commande en ligne, que vous nous envoyez un SMS ou un e-mail, que vous vous inscrivez à un concours ou que vous téléchargez une application), par voie électronique, ou oralement (par exemple, dans l'un de nos points de vente).

b. Données personnelles recueillies par des moyens automatisés

C’est le cas dans le cadre de l’utilisation de systèmes informatiques, websites, compteurs et données personnelles obtenues via des tiers.

c. Catégories de données à caractère personnel

Pour des raisons pratiques, les types de données personnelles ont été regroupés comme suit:

  • Nom des données : par exemple : prénom, nom, sexe, date de naissance ...
  • Données de contact: par exemple: Numéro de téléphone / portable, fax, adresse personnelle, adresse e-mail, ...
  • Données sensibles : Exemple : numéro d'enregistrement de l'État (numéro de sécurité sociale), ...
  • Données financières: par exemple : Comptes bancaires, numéro de contrat, type de contrat, ...
  • Données de suivi (données collectées automatiquement à partir de l'utilisation d'un service) : Identification du site, adresse IP, informations provenant des cookies, ...
  • Données comportementales : par exemple : parcours client, préférences client, …
  • Données de mesure : Par exemple: consommation d'électricité / de gaz, numéro de compteur, …
  • Données sur le logement par exemple. : Présence d'un système de surveillance, de panneaux photovoltaïques, …

Via divers canaux, par exemple les concours, promotions/actions, nos sites Internet/applications, nous pouvons recueillir des données personnelles sur des personnes qui ne sont pas (encore) clients afin de proposer à ces personnes l'offre la plus pertinente possible de produits et services. Dans ce cadre, nous garantissons votre droit à l'information et nous l'imposons contractuellement – dans la mesure où c'est applicable – avec votre éventuelle autorisation requise par la loi aux tierces parties qui collecteraient vos données (pour nous) dans ce contexte.

5. Quel usage des données faisons-nous ?

Nous utilisation les données pour l’exécution la délivrance des offres que nous vous proposons.

Plus précisément, nous les traitons uniquement:

  • Dans le cadre de la préparation ou de l’exécution de nos offres et service ;
  • Dans le cadre de mesures préparatoires à la mise en place d’un contrat ;
  • Dans le cadre de l’exécution d’un contrat (notamment un contrat de travail), cela inclut les traitements internes effectués par les ressources humaines, les finances, le service informatique, la gestion des locaux… ;
  • Pour être en conformité avec les dispositions légales ou réglementaires auxquelles nous sommes soumis; ou
  • Quand nous avons reçu votre consentement.

Dans le cadre défini ci-avant, les données peuvent être transmises à des tiers lorsque cela est nécessaire à la réalisation de la finalité du traitement.

Les données peuvent également être transmises à des organismes officiels de statistiques ou de contrôle en application d’une législation nationale ou européenne.

Nous portons une attention particulière au respect des principes de la GDPR - General Data Protection Regulation par nos sous-traitants qui peuvent être amenés à traiter des données personnelles, par une sélection sur base de critères à respecter, par des clauses contractuelles et par un suivi du respect de ces règles.

Nous veillons également à ce que vos données soient stockées dans des pays qui respectent la GDPR et qui sont reconnus conformes par la commission européenne.

6. Comment assurons-nous la sécurité de vos données ?

Nous faisons le nécessaire pour protéger vos données à caractère personnel et votre vie privée, tant dans nos bureaux que dans nos boutiques, sur notre réseau que chez vous. 

Nos collaborateurs ont ainsi été spécifiquement formés pour gérer les données confidentielles, et vos données personnelles en particulier, de la manière la plus adéquate possible.

Dans le cadre de chaque projet visant un traitement des données personnelles, nous effectuons d'abord une évaluation des risques et des besoins de sécurité, en préservant vos intérêts avant tout. Notre politique, nos exigences et nos normes de gestion en matière de protection des informations reposent notamment sur les normes internationales ISO27000.

Au quotidien, des personnes spécifiques dans nos services contrôlent le respect de la législation sur la protection de vos données, et de nos aspirations éthiques, comme exposé dans la présente notice d’information. D’autres spécialistes chez nous garantissent que le niveau de sécurité de notre réseau, de notre infrastructure et de nos systèmes d’information correspond aux exigences élevées en la matière.

En outre, nous appliquons toutes les mesures techniques nécessaires pour protéger vos données personnelles contre un accès ou une utilisation illicite, ainsi que contre leur perte ou vol. Si malgré les multiples mesures de protection en place, une violation de vos données à caractère personnel devait se produire, vous seriez averti dans les circonstances prévues par la loi.

Le nombre de nos collaborateurs ayant accès à vos informations personnelles est limité. Par ailleurs, ces derniers ne disposent de cette autorisation que dans la mesure où elle est strictement nécessaire à l’exécution correcte de leurs tâches.

7. Vendons-nous vos données à des tierces parties ou transmettons-nous vos données ?

Nous pouvons être amenés à fournir vos informations personnelles à des tiers pour traiter ces informations en notre nom. Nous exigeons que ces parties acceptent de traiter cette information en fonction de nos instructions et exigences en accord avec la présente notice d’information.

Transferts de données

a)  Nous ne vendons pas vos données personnelles.

b)  Nous ne transférons pas de données à caractère personnel à des tiers, sauf si:

  • Cela est nécessaire pour nos services.
    Nous rendons certaines de nos banques de données accessibles à des tierces parties qui travaillent pour notre compte et qui nous aident dans la livraison de nos produits et services. Par exemple les agents commerciaux, les techniciens indépendants qui entretiennent notre réseau et les collaborateurs du service clientèle (externe) qui assistent nos clients au quotidien. Vos données sont uniquement transmises aux fins auxquelles Encevo traite elle-même vos données et cette transmission est limitée aux données dont ces tiers ont besoin pour la tâche qu'ils effectuent pour nous. Nous nous assurons qu’ils traitent vos données, tout comme nous, d’une manière sûre, respectueuse et en bon père de famille et nous prévoyons les garanties contractuelles adéquates à cet effet.
  • Il y a une obligation légale.
    Nous vous renvoyons ici à la présente politique de protection de la vie privée .
  • Il y a un intérêt légitime pour Encevo ou le tiers concerné.
    Nous transmettrons uniquement vos données personnelles si votre intérêt ou vos droits et libertés fondamentaux ne prévalent pas et vous en serez toujours informé en toute transparence (sauf dans le cas des exceptions légales). Ainsi, vos données personnelles peuvent par exemple être transmises aux contrôleurs de crédit, aux bureaux de recouvrement et aux prestataires de services juridiques.
  • Nous pouvons divulguer des renseignements personnels à des tiers dans le cadre d'une fusion, d'une acquisition ou d'une vente (y compris tout transfert effectué dans le cadre d'une procédure d'insolvabilité ou de faillite) ou ses sociétés affiliées ou dans le cadre d'une réorganisation, d'un stock ou d'une vente d'actifs ou un autre changement dans le contrôle de l'entreprise
  • Vous nous donnez votre autorisation.
    Si Encevo fournit des données personnelles à des tiers dans d'autres situations, cela se fait toujours avec une notification explicite, en donnant une explication sur le tiers, les fins de la communication et du traitement. Si c'est requis par la loi, nous vous demandons votre autorisation explicite. Quelques exemples : en fonction de votre choix lors de la conclusion de votre contrat, vos données d'abonné indispensables sont transmises à et répertoriées dans l'annuaire téléphonique et/ou dans les fichiers du service de renseignements ; si vous optez pour l'enregistrement de vos factures électroniques, nous partageons vos factures avec cette tierce partie.

c) Traitement international de vos données personnelles

Dans le cas où des données à caractère personnel seraient traitées en dehors de l'Union européenne, nous nous assurons par des mesures contractuelles ou autres que ces données y bénéficient d'un niveau de protection approprié, comparable à la protection dont elles bénéficieraient dans l'Union européenne conformément à la réglementation européenne.

d)  Utilisation de données anonymes

Nous utilisons des données agrégées et anonymes à des fins commerciales et pour des rapports internes/externes. Ces données ne peuvent jamais être reliées à une personne physique déterminée. Encevo garantit à chaque fois que ces parties ne peuvent jamais relier les données que nous leur transmettons à une personne physique identifiable.

8. Combien de temps conservons-nous vos données

La durée de conservation des données dépend des traitements qui lui sont appliqués.

Elle est fixée en fonction de la législation applicable au traitement.

Par exemple, vos données de comptage en relation avec votre contrat d’utilisation peuvent être conservées pour une durée maximale de 15 ans après la fin de votre contrat d’utilisation (période définie par l’article 3 du règlement Grand-Ducal du 27 août 2014 relatif aux modalités de comptage de l’énergie électrique et du gaz naturel).

9. Quels sont les droits dont vous disposez ?

La loi relative à la protection des données octroie certains droits aux utilisateurs ou personnes concernées. Ces droits sont :

I. Droit d’accès

II. Droit à la rectification

III. Droit de suppression ou droit à l’oubli

IV. Droit de limitation du traitement

V. Droit à la portabilité des données à caractère personnel

VI. Droit d’objection / droit d'opposition au traitement et droit de retirer votre consentement

I. Votre droit d'accès

Vous avez le droit de demander à tout moment à Encevo si nous traitons ou non vos données à caractère personnel et, si nous les traitons, de consulter ces données et de recevoir des informations complémentaires concernant :

  • les fins auxquelles nous les traitons ;
  • les catégories concernées de données à caractère personnel ;
  • les destinataires ou les catégories de destinataires (notamment les destinataires dans des pays tiers) ;
  • si possible, le délai de conservation ou, si ce n'est pas possible, les critères permettant de déterminer ce délai ;
  • l'existence de vos droits en matière de confidentialité ;
  • le droit d'introduire une plainte auprès de l'autorité de surveillance ;
  • les informations dont nous disposons sur la source des données si nous obtenons des données personnelles via un tiers ; et l'existence d'un processus décisionnel automatique.

Vous avez également le droit d'obtenir une copie gratuite des données traitées, sous forme compréhensible. Encevo peut demander une indemnité raisonnable destinée à couvrir ses frais administratifs pour chaque copie supplémentaire que vous demandez.

II. Votre droit de rectification de vos données à caractère personnel

Vous avez le droit de faire corriger immédiatement les données à caractère personnel incomplètes, erronées, inadéquates ou anciennes.

Pour tenir à jour vos données, nous vous prions quoi qu'il en soit de nous communiquer toute modification, comme un déménagement, la modification de votre adresse e-mail ou un changement d’adresse postal.

III. Votre droit de suppression des données (le « droit à l'oubli »)

Vous avez le droit, dans les cas suivants, de faire supprimer vos données personnelles sans retard injustifié :

  • vos données à caractère personnel ne sont plus nécessaires aux fins auxquelles elles ont été collectées ou traitées d'une autre manière par Encevo ;
  • vous retirez votre autorisation antérieure relative au traitement et il n'y a aucune autre base juridique que Encevo peut invoquer pour (poursuivre) le traitement ;
  • vous vous opposez au traitement de vos données à caractère personnel et il n'existe aucune base justifié qui prévaut pour que Encevo poursuive le traitement ;
  • vos données personnelles sont traitées de manière illégitime ;
  • vos données personnelles doivent être effacées pour satisfaire à une obligation légale ;
  • vos données personnelles ont été collectées alors que vous étiez encore mineur.

Veuillez tenir compte du fait que nous ne pouvons pas toujours supprimer toutes les données personnelles demandées, par exemple lorsque leur traitement est indispensable pour la constatation, l’exercice ou la défense de droits en justice ou parce que nous sommes tenus pour la justice et la sécurité de l’État de conserver les données selon notre politique de rétention. Nous vous fournirons de plus amples informations à ce propos dans notre réponse à votre demande.

IV. Votre droit de limitation du traitement

Vous avez le droit d'obtenir la limitation du traitement de vos données personnelles si l'un des éléments suivants est d'application :

  • vous contestez l'exactitude de ces données personnelles : leur utilisation est limitée pendant une période permettant à Encevo de contrôler l'exactitude des données ;
  • le traitement de vos données à caractère personnel est illégitime : au lieu de demander la suppression de vos données, vous demandez à ce que leur utilisation soit limitée ;
  • Encevo n'a plus besoin de vos données pour les finalités initiales du traitement, mais vous en avez besoin pour la constatation, l’exercice ou la défense de droits en justice : au lieu de demander la suppression des données, leur utilisation est limitée à la constatation, l’exercice ou la défense des droits en justice ;
  • tant qu'aucune décision n'a été prise concernant l'exercice de votre droit d'opposition au traitement, vous demandez la limitation de l'utilisation de vos données à caractère personnel.

V. Votre droit à la portabilité des données à caractère personnel (« data portability »)

Vous avez le droit de « récupérer » vos données personnelles, par exemple pour pouvoir changer plus facilement de fournisseur de services. C'est uniquement possible pour les données à caractère personnel que vous avez vous-même fournies à Encevo, sur la base d'une autorisation ou d'un contrat. Dans tous les autres cas, vous ne pouvez donc pas bénéficier de ce droit (par exemple, lorsque le traitement de vos données se produit sur la base d'une obligation légale).

Deux aspects sont liés à ce droit :

  • vous pouvez demander à Encevo pour récupérer les données à caractère personnel concernées dans un format structuré, couramment utilisé et lisible par machine ; et
  • vous pouvez demander à Encevo de transmettre directement les données personnelles concernées à un autre responsable du traitement. Dans ce cadre, vous êtes personnellement responsable de l'exactitude et de la sécurité de l'adresse (e-mail) que vous indiquez pour le transfert. Encevo a le droit de refuser votre demande si le transfert est techniquement impossible.

VI. Votre droit d'opposition au traitement de vos données à caractère personnel

Vous avez le droit, en vertu de votre situation particulière, de vous opposer au traitement de vos données personnelles si le traitement s'inscrit dans le cadre de l'intérêt légitime d’Encevo ou dans le cadre de l'intérêt général. Encevo suspendra le traitement de vos données personnelles, sauf si Encevo peut démontrer qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les vôtres ou si le traitement des données personnelles est lié à la constatation, l'exercice ou la défense de droits en justice (par exemple, l'introduction d'une requête devant un tribunal).

Comment puis-je exercer mes droits en matière de confidentialité ?

Directement via nos services clientèles d’Enovos et Creos, ou via le formulaire de demande d’accès dédié. Afin d'exercer votre droit d'accès et pour éviter toute publication illicite de vos données à caractère personnel, nous devons vérifier votre identité. En cas de doute ou d'imprécision, nous vous demanderons d'abord des informations complémentaires.

Y a-t-il des frais ?

Vous pouvez exercer gratuitement vos droits en matière de confidentialité, sauf si votre demande est manifestement non fondée ou exagérée, notamment en raison de son caractère répétitif. Dans ce cas, nous avons le droit et le choix – conformément à la législation relative à la protection de la vie privée – (i) de vous facturer une indemnité raisonnable (tenant compte des frais administratifs liés à la fourniture de l'information ou de la communication demandée et des frais liés à la prise des mesures demandées), ou (ii) de refuser de donner suite à votre demande.

Sous quel format vais-je recevoir une réponse ?

Si vous introduisez votre demande par voie électronique, les informations sont si possible transmises par voie électronique, sauf si votre demande stipule autre chose. En tout cas, nous vous transmettons une réponse concise, transparente, compréhensible et aisément accessible.

Quand vais-je recevoir une réponse ? 

Nous réagissons dans les plus brefs délais à votre demande, et en tout cas dans le mois suivant la réception de votre demande. En fonction de la complexité des demandes et de leur nombre, ce délai peut le cas échéant être prolongé de deux mois. En cas de prolongation du délai, nous vous en informons dans le mois suivant la réception de la demande.

Que puis-je faire si Encevo ne donne pas suite à ma demande ? 

Nous vous informerons toujours, dans notre réponse, à propos de la possibilité d'introduire une plainte auprès de l'autorité de surveillance et de faire appel devant le juge.

10. Comment facilitons-nous l’exercice de vos droits ?

Quelles sont vos personnes de contact auprès du groupe Encevo pour vos données personnelles ?

N'hésitez pas à entrer en contact avec votre point de contact (Data Protection Officer – DPO) pour toute sorte de questions :  

  • Enovos Luxembourg: Michel Brimeyer,
  • Creos Luxembourg: Marie-Hélène Bertinchamps,
  • Encevo: Jan Ricken,
  • Creos Deutschland: Markus Hesse,
  • Enovos Deutschland: Dr Hartmut Voelskow,

11. Escalade auprès des autorités de surveillance

Pour les plaintes relatives au traitement de vos données à caractère personnel, vous pouvez vous adresser à l'Autorité de Protection des Données,

Commission Nationale pour la Protection des Données (CNPD)
1, avenue du Rock’n’Roll
L-4361 Esch-sur-Alzette
Tél. : +352 2610 60 1
Fax : +352 2610 60 29
Email:
http://www.cnpd.lu/