en cas de panne
Traitements de données à caractère personnel dans le cadre du Contrat
Les Parties s’engagent, chacune pour ce qui la concerne, à respecter les obligations et exigences de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée, du Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ou « RGPD »), ainsi que de toute législation ou règlementation relative à la protection des données à caractère personnel applicable aux traitements effectués dans le cadre du Contrat.
Chaque Partie met au moins en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment celles prévues à l’article 32 du RGPD. Figurent parmi ces mesures celles de nature à limiter raisonnablement le risque de violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données. Si le Prestataire est situé en dehors de l’Espace Économique Européen, il doit disposer de Règles Contraignantes d’Entreprise (ou « BCR ») approuvées par l’Union Européenne ou avoir signé des clauses contractuelles types approuvées par la Commission Européenne avec le Client.
Les Parties reconnaissent qu’elles doivent déterminer leurs rôles respectifs ainsi que leurs responsabilités et obligations leur incombant conformément à la règlementation en vigueur. Dans le cas où l’objet de la Prestation implique que l’une des Parties traite des données à caractère personnel pour le compte, sur instruction et sous l’autorité de l’autre Partie, les Parties concluront un acte juridique régissant la relation entre responsable de traitement et sous-traitant, conformément à l’article 28 du RGPD.
Chaque Partie, en qualité de responsable de traitement distinct, peut être amenée à collecter et traiter des données personnelles relatives aux collaborateurs, préposés et fournisseurs de l’autre Partie pour les besoins de la passation, l’exécution et le suivi du Contrat. Les Parties sont convenues que chacune d’entre elles s’engage à informer préalablement ses collaborateurs, préposés et fournisseurs des caractéristiques des traitements précités. Afin de lui permettre d’accomplir cette obligation, le Client met à disposition du Prestataire la mention d’information figurant aux alinéas numérotés 1 à 5 ci-après. De son côté, le Prestataire s’engage à mettre à disposition du Client une mention ayant le même objet au plus tard dans le délai d’un mois après l’entrée en vigueur du Contrat.
1.- Finalités et bases légales
- Le Client traite sur la base sur la base de l’exécution du contrat auquel le Prestataire est partie ou de mesures pré-contractuelles prises à sa demande (article 6.1.c du RGPD) les données de salariés et représentants du Prestataire pour la gestion et le suivi d’appels d’offres, aux fins de suivi et de preuve de l’exécution des prestations de services, fournitures de biens et matériels et de travaux objets de la Prestation, la gestion contractuelle (émission de devis, gestion de la facturation, gestion de la contrathèque…), et plus généralement pour les besoins de la relation commerciale (tenue à jour de la base fournisseurs, évaluation de la qualité des prestations, suivi du plan de vigilance et des engagements RSE…), ainsi que, le cas échéant, la gestion des réclamations et du recouvrement des créances.
- Le Client traite sur la base de l’intérêt légitime (article 6.1.f du RGPD) les données personnelles du Prestataire nécessaires au suivi de la relation commerciale, au moyen d’un progiciel de gestion intégré (ERP) et d’un progiciel de relation client (CRM).
- Le Client traite sur la base des obligations légales (article 6.1.c du RGPD) qui lui sont applicables les données personnelles nécessaires à l’accomplissement de ses obligations comptables et fiscales. Le Client est aussi susceptible de traiter les données personnelles des salariés du Prestataire ou ses représentants dans le cadre de la prévention de la corruption, ainsi qu’aux fins de la conservation de preuves dans le cadre d’un éventuel contentieux ou sinistre.
2.- Catégories de données personnelles traitées
- Pour les finalités susmentionnées, le Client traite les catégories suivantes de données personnelles : données d’identification, fonction, coordonnées professionnelles, et données produites dans la cadre de la Prestation (ex : données de facturation, données relatives aux paiement). Dans le cadre des activités de prévention et de lutte contre la corruption, certaines données relatives aux mandataires sociaux du Prestataire sont susceptibles d’être traitées par le Client tels que l’adresse postale, les éventuelles infractions et condamnations publiquement connues.
- Les données à caractère personnel sont traitées sur un support papier ou électronique conformément aux principes de licéité, minimisation, mise à jour et transparence, et selon les modalités techniques destinées à assurer leur sécurité et confidentialité.
3.- Destinataires
- Les données traitées sont destinées aux services internes dûment habilités du Client et des autres sociétés Engie en Polynésie française.
- Les transferts de données hors de l’Union européenne sont réalisés sur la base de l’une des garanties prévues par le chapitre V du RGPD. En particulier, le Client s’assure que les transferts ne sont effectués qu'à destination de pays garantissant un niveau adéquat de protection des données, ou à défaut, ceux bénéficiant d’une décision d'adéquation de la Commission, ou, le cas échéant, que des garanties adéquates sont en place.
- Enfin, les données du Prestataire peuvent être transmises à des tiers autorisés, sous réserve d’une demande dûment motivée ou d’une obligation légale (ex : administrations compétentes, professions réglementées…).
4.- Durées de conservation
- Les données personnelles traitées sont conservées pour une période de temps n'excédant pas celle nécessaire pour atteindre les finalités pour lesquelles elles sont traitées.
- Les critères de détermination de la période de conservation des données tiennent compte de la réglementation applicable en matière comptable et fiscale, de la prescription des droits et des intérêts légitimes du Client lorsque ceux-ci constituent la base juridique du traitement. En particulier, dans le cadre des traitements ayant des fins commerciales, le Client veille à utiliser les données pour la durée de la relation contractuelle, majorée de 3 ans après la fin de celle-ci.
- A l’expiration de ces délais, les données sont supprimées ou anonymisées.
5.- Droits des personnes
- Toute personne physique dont les données sont collectées dispose, dans les conditions prévues par la réglementation en vigueur, d’un droit d’accès, de rectification, d’effacement, de limitation, de retrait de son consentement lorsqu’applicable ainsi que de portabilité de ses données personnelles. Elle dispose également d’un droit d’opposition au traitement de ses données à caractère personnel pour des raisons tenant à sa situation particulière et, conformément à l’article 85 de la Loi Informatique et Libertés, du droit de définir des directives générales et particulières définissant la manière dont elle entend que soient exercés, après son décès, ces droits.
- Pour exercer ces droits, la personne dont les données sont collectées doit adresser sa demande, accompagnée d’un justificatif d’identité, à l’adresse suivante : ELECTRICITE DE TAHITI – BP 8021 – 98702 FAA’A, ou par courrier électronique à l’adresse « rgpd.edt.pf@edt.engie.com ». Dans le cas de courriels à caractère commercial, le mécanisme de désabonnement figurant au bas du courriel peut également être utilisé. Enfin, la personne concernée dispose de la possibilité d’introduire une réclamation auprès de l’autorité de contrôle compétente, la Commission Nationale de l’Informatique et des Libertés (CNIL).