Politique de confidentialité – Données Personnelles / Politique générale de protection des données personnelles

 

Politique de confidentialité - Sécurisons et protégeons vos données

POLITIQUE GÉNÉRALE DE PROTECTION DES DONNÉES PERSONNELLES

 

INTRODUCTION
Notre société Groupe Procivis Les Prévoyants au travers de ses filiales : la « Compagnie Immobilière Sud Atlantique », « Immobilière Sud Atlantique », « Pierres et Territoires de France Centre Atlantique », « Compagnie Immobilière Maison Individuelle » et « Ciliopée Immobilier », ci-après dénommée « le Groupe » réalise une activité de promoteur – aménageur – lotisseur –constructeur de maisons individuelles et de holding. Elle s’engage à assurer la protection des données obtenues dans le cadre de ses activités et à se conformer aux lois et réglementations applicables en matière de traitement des données personnelles. Ainsi, notre société agit dans le respect des dispositions de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée ainsi que du Règlement Européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

La présente politique de protection des données personnelles a pour objectif de décrire les engagements du Groupe et les mesures prises afin de veiller au respect des données à caractère personnel des personnes physiques qu’il s’agisse des clients ou prospects du Groupe, des professionnels, des partenaires du Groupe, des salariés du Groupe, des candidats souhaitant rejoindre le Groupe ou des internautes navigant sur le site du Groupe ou de ses filiales. Cette politique s’applique à l’ensemble des activités du Groupe, des contrats conclus et aux sites internet des différentes sociétés du Groupe.

 

1° DÉFINITIONS
Données personnelles ou données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
Traitement de données : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;
Responsable de traitement : celui qui décide de la manière dont sera mis en œuvre le traitement des données à caractère personnel, notamment en déterminant à quoi vont servir les données et quels outils vont être mis en œuvre pour les traiter.
Destinataire : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers.
Sous-traitant : la personne physique ou morale, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du Groupe.
Consentement de la personne concernée : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.
Violation de données à caractère personnel : une violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

 

2° SENSIBILITÉ A LA PROTECTION DES DONNÉES A CARACTÈRE PERSONNEL
Consciente de l’importance du respect de la vie privée et de la protection des données personnelles, le Groupe met en œuvre des mesures adéquates pour assurer la protection, la confidentialité et la sécurité des données personnelles de toute personne auprès de laquelle des données sont collectées.

Ainsi, le Groupe veille à sensibiliser son personnel aux enjeux et aux pratiques de la conformité aux règles de protection des données à caractère personnel par des actions de formation.

Par ailleurs, outre la présente politique, le Groupe a mis en place une charte informatique encadrant l’utilisation des différents systèmes d’information et de communication nécessaires à l’exercice de ses activités. Elle concerne les ressources informatiques, les services internet, de messagerie et téléphoniques que la société met à disposition de ses collaborateurs ainsi que tout autre moyen de connexion à distance permettant d’accéder, via le réseau informatique, aux services de communication ou de traitement électronique interne ou externe. Cette charte définit les règles relatives à l’utilisation de ces différentes ressources et tend à sensibiliser leurs utilisateurs aux risques inhérents à leur utilisation en termes d’intégrité et de confidentialité des données traitées, et de sécurité informatique.

De plus, le Groupe intègre la protection des données à caractère personnel dans sa pratique contractuelle aux différents stades de ses activités en incorporant des clauses ad-hoc dans ces divers contrats.

 

3° TRAITEMENT DES DONNÉES A CARACTÈRE PERSONNEL :

3-1: Respect des principes de licéité, de loyauté et de transparence :

Tout traitement de données à caractère personnel doit être licite et loyal. Ainsi, les traitements sont mis en œuvre pour une finalité précise qui est déterminée, explicite et légitime. Les données collectées ne sont pas utilisées ultérieurement à d’autres fins.

Le traitement des informations que nous collectons est réalisé dans le respect du principe de licéité. Il est conditionné par trois critères de la loi qui le rende possible pour la finalité auquel nous le destinons :

      • la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités ;

      • le traitement est justifié par une obligation pré-contractuelle ou contractuelle ;

      • le traitement est nécessaire au respect d’une obligation légale ou réglementaire ;

Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités. Ainsi les documents de collecte de données à caractère personnel du Groupe comporte les informations relatives à l’identité du responsable de traitement, à la finalité du traitement, au caractère obligatoire ou facultative des données, aux conséquences éventuelles d’un défaut de réponse, à la base juridique sur laquelle repose le traitement des données, aux destinataires ou catégories de destinataires des données aux droits de la personne concernée à l’égard des traitements des données, à l’absence de transfert de données à destination d’un Etat hors Union Européenne et à la durée de conservation de ces données.

 

3-2 : Principaux traitements :

Le Groupe est amené à traiter des données à caractère personnel pour les finalités suivantes :

      • Gestion des recrutements des salariés ;

      • Gestion des ressources humaines : gestion de la paie, gestion administrative des personnels, gestion des carrières et des mobilités, la formation des personnels.

      • Gestion du système d’information et de communication : mise à disposition du personnel d’outils informatiques et téléphoniques ;

      • Gestion administrative et juridique : gestion des assurances, préparation des conseils d’administration et assemblées générales, gestion des formalités ;

      • Comptabilité : tenue des comptes sociaux, établissements des comptes de résultats et bilans prévisionnels et définitifs, établissement des titres de paiement, émission de factures, de règlements, établissement de statistiques ;

      • Gestion du contentieux : préparation, exercice et suivi d’une action disciplinaire ou d’un recours en justice, gestion des dossiers pré-contentieux et des procédures contentieuses ;

      • Gestion de la prospection commerciale : gestion des contacts, sélection de contacts pour réaliser des campagnes de promotion, des actions de fidélisation, de parrainage, élaboration de statistiques commerciales, organisation de jeux-concours, gestion des avis des personnes sur des services, produits ou prestations.

      • Gestion de la relation client : préparation et suivi des dossiers de réservation, administration des ventes, suivi administratif durant la phase chantier jusqu’à la livraison, gestion du service après-vente, la mesure de la satisfaction clients ;

      • Prospection foncière : gestion des contacts avec les propriétaires fonciers et la formalisation des accords de vente ;

      • Montage d’opérations : contractualisation avec les différents intervenants à l’opération, la préparation de l’opération avec les riverains, les établissements publics, sur le terrain, l’obtention des autorisations administratives ;

      • Gestion technique : contractualisation avec les intervenants à la réalisation de l’opération, la gestion des travaux, la gestion du service après-vente.

  1.  

3-3 : Données collectées :

Le Groupe ne collecte et ne traite que les données à caractère personnel strictement nécessaires à la réalisation du traitement.

Certaines données sont considérées comme indispensables à l’exécution du contrat et ne font pas l’objet d’un consentement. Cependant, le Groupe est amené à collecter des données dans le cadre de traitements non indispensables à l’exécution d’un contrat telles que la prospection commerciale, la réponse aux demandes de contact, la réalisation d’enquêtes de satisfaction… Dans ce contexte, un consentement explicite est recueilli par écrit ou par le biais notamment des différents sites internet du Groupe.

 

3-4 : Conservation des données collectées :

Les données à caractère personnel sont conservées pendant une durée limitée qui n’excède pas la durée nécessaire aux finalités de collecte et/ou les exigences légales ou réglementaires.

Les délais de conservation des données sont portés à la connaissance des personnes, et varient selon la nature des données, la finalité des traitements, ou les exigences légales ou réglementaires.

 

3-5 : Communication des données :

Le Groupe ne communique aujourd’hui aucune donnée à caractère personnel vers un Etat situé hors Union Européenne.

Tout en respectant la confidentialité des données, le Groupe peut être amené à transmettre des informations personnelles à des organismes publics ou privés dans le cadre d’obligations légales ou réglementaires ou à nos sous-traitants ou prestataires dans le cadre de la finalité poursuivie par le traitement auquel les données sont destinées. Dans ce cas, les destinataires ont uniquement communication des catégories de données nécessaires à la réalisation de ladite finalité. Il est demandé aux sous-traitants et prestataires de service qu’ils utilisent les données personnelles uniquement pour gérer les services que nous leur demandons de fournir. Il leur est également demandé de toujours agir en conformité avec les lois et règlements applicables en matière de protection des données personnelles.

 

3-6 : Sécurisation des données :

Le Groupe détermine et met en œuvre les moyens et mesures nécessaires pour assurer la sécurité des données sensibles relatives à ses résultats financiers, ses engagements, son développement commercial ainsi que des informations nominatives relatives à ses clients, partenaires et personnel. Ces moyens et mesures sont précisés notamment dans sa charte informatique.

  • Gestion des mots de passe :

L’usage des systèmes d’information (comme la messagerie électronique ou téléphonique, les sessions sur les postes de travail, le réseau) s’effectue à partir des comptes nominatifs dont l’utilisation est soumise à une séquence d’identification et d’authentification (identifiant, mot de passe).

  • Habilitation :

Il a été défini en interne une politique d’habilitation du personnel en fonction des missions de chacun pour limiter l’accès aux données personnelles.

  • Sauvegarde des données :

Toutes les données sont stockées sur un espace de stockage régulièrement sauvegardé accessible via le réseau interne.

  • Mesures de protection :

La protection des données est par ailleurs assurée par : l’installation d’un pare-feu, l’utilisation d’un port dédié pour l’accès internet, le filtrage des URL, le filtrage des mails via l’anti-spams, l’utilisation d’antivirus mis à jour quotidiennement, la configuration des logiciels pour la mise à jour de sécurité automatique et le recours au réseau MPLS avec logiciel spécial de cryptage et un accès utilisateur avec un code très sécurisé.

 

4° DROITS DES PERSONNES :

4-1 : Principes généraux appliqués :

      • Le droit d’accès :

La personne concernée a le droit d’obtenir la confirmation que des données la concernant sont ou non traitées et, lorsqu’elles le sont, l’accès aux dites données ainsi que les informations suivantes :

  • la finalité du traitement ;

  • la catégorie de données personnelles traitées ;

  • le ou les destinataires ou catégories de destinataires des données traitées ;

  • la durée de conservation des données traitées ;

  • l’existence du droit de rectification et d’effacement des données, de limitation du traitement et d’opposition au traitement ;

  • le droit d’introduire une réclamation auprès de la CNIL ;

  • les sources de données, en cas de collectes indirectes ;

  • l’existence de prise de décision automatisée ;

      • Le droit de rectification :

Ce droit est défini comme le droit de la personne concernée d’obtenir la rectification de ses données si elles s’avèrent incomplètes ou inexactes.

      • Le droit à l’effacement :

Le droit à l’effacement ou « droit à l’oubli » permet à la personne concernée d’obtenir l’effacement de ses données quand celles-ci ne sont plus nécessaires au regard de la finalité pour laquelle elles ont été collectées, lorsque la personne concernée a retiré son consentement et qu’il n’existe pas d’autre fondement juridique au traitement réalisé, lorsque la personne concernée s’oppose au traitement, lorsque celui-ci est illicite ou lorsque l’effacement est nécessaire pour respecter une obligation légale.

      • Le droit à la limitation :

Ce droit peut être exercé, lorsque l’exactitude des données est contestée par la personne concernée, pendant une durée permettant au Groupe de vérifier l’exactitude des données à caractère personnel, lorsque le traitement est illicite et que la personne concernée s’oppose à l’effacement des données et exige à la place la limitation de leur utilisation, lorsque le Groupe n’a plus besoin des données personnelles aux fins du traitement mais que celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de ses droits en justice.
Lorsque ce droit est exercé, le Groupe ne traite plus les données sans le consentement de la personne concernée à moins que celui-ci ne consiste plus qu’en la conservation des données ou qu’il soit nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ou pour la protection des droits d’une personne physique ou morale, ou encore pour des motifs importants d’intérêt public de l’Union européenne ou d’un de ses Etats membres.

      • Le droit d’opposition :

Il s’agit du droit pour la personne concernée sous certaines conditions de s’opposer à tout moment au traitement de ses données personnelles.

      • Le droit à la portabilité :

La personne concernée a le droit de recevoir les données personnelles qu’elle a fournies au Groupe et de le transmettre à un autre organisme sans que le Groupe puisse y faire obstacle.
Conformément à la réglementation, le Groupe s’engage à fournir les informations demandées dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prorogé de deux mois compte tenu de la complexité et du nombre de demandes. Dans ce cas, la personne concernée est informée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande.

Il convient toutefois de noter que la réglementation prévoit, en cas de demandes infondées ou excessives des personnes concernées, la possibilité soit d’exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, de procéder aux communications ou de prendre les mesures demandées, soit de refuser de donner suite à ces demandes.
Dans ce dernier cas, le Groupe informe la personne concernée de son refus et de ses motifs au plus tard dans un délai d’un mois à compter de la réception de la demande.

 

4-2 : Mises en œuvre de ces droits :

Pour l’exercice de leurs droits, les personnes concernées peuvent nous contacter :

  • par voie postale à l’adresse suivante:

Compagnie Immobilière Sud Atlantique
BAF – Bât G3
21 Quai Lawton
33 300 BORDEAUX

 

En cas de « doutes raisonnables » quant à l’identité du demandeur, le Groupe peut être amené à lui demander de fournir des informations supplémentaires nécessaires pour confirmer son identité et d’attendre ces informations supplémentaires avant toute action relative à ses données.

Par ailleurs, sans préjudice de tout autre recours administratif ou juridictionnel, toute personne a le droit d’introduire le cas échéant une réclamation auprès de l’autorité française de protection des données, la Commission Nationale Informatique et Libertés (www.cnil.fr).

 

4-3 : Violation de données à caractères personnels :

En cas de violation de données à caractère personnel engendrant un risque élevé pour les droits et les libertés de la personne physique concernée, le Groupe doit notifier la violation en question à la CNIL au plus tard 72 heures après en avoir pris connaissance. Il doit par ailleurs dans ce cas informer la personne concernée de cette violation dans les meilleurs délais.

 

5° MISES A JOUR :

La présente politique à destination des collaborateurs du Groupe et des personnes extérieures concernées par les traitements est susceptible d’être modifiée afin de tenir compte des dernières évolutions législatives ou réglementaires ou d’un changement dans le périmètre de notre activité.
Elle est accessible et disponible en interne pour les collaborateurs sur le réseau informatique dans un répertoire dédié et en externe via les différents sites internet des sociétés du Groupe.

 

ÉVOLUTIVITÉ DE LA POLITIQUE DE PROTECTION DES DONNÉES PERSONNELLES :

Nous vous informons que cette politique de protection des données peut être modifiée par nos soins.
Date de publication de la politique de confidentialité : décembre 2018.

 

 

Pour plus d’informations  : rendez-vous sur le site du CNIL