A. Politique sur la protection des données personnelles d'ENGIE Solutions
ENGIE Solutions rassemble sous une marque unique toutes les activités de services énergétiques BtoB du Groupe ENGIE en France. Dans le cadre de ses activités, elle est amenée à traiter les données à caractère personnel relatives à ses collaborateurs, clients, partenaires, prestataires de services et fournisseurs dans le cadre de ses activités quotidiennes (gestion des candidats, du personnel, gestion des solutions prospects et clients, etc.).
La présente politique (la « Politique ») présente les engagements et principaux moyens mis en œuvre au sein d’ENGIE Solutions afin de respecter la règlementation applicable en matière de protection des données à caractère personnel, notamment les dispositions du Règlement Général sur la Protection des Données (Règlement UE 2016/679) et de la loi « Informatique et Libertés » du 6 janvier 1978 modifiée.
Cette Politique, qui s’inscrit pleinement dans celle du Groupe ENGIE (accessible ici), témoigne des engagements mis en œuvre par ENGIE Solutions dans le cadre de ses activités pour une utilisation responsable des données à caractère personnel.
1. Les engagements
ENGIE Solutions attache la plus grande importance à la protection des données personnelles de ses collaborateurs, de ses clients et de tous ses partenaires.
ENGIE Solutions veille à traiter ces données de manière éthique, responsable et transparente, conformément aux dispositions du Règlement Général sur la Protection des Données (RGPD), et plus généralement à la réglementation applicable en matière de protection des données personnelles.
La mise en place d’une gouvernance et de procédures articulées autour de nombreux relais chargés de veiller à la conformité des traitements font d’ENGIE Solutions un acteur de confiance.
2. Les principes de protection des données
ENGIE Solutions s’engage à respecter, au travers d’une démarche Privacy by Design et by Default, les grands principes en matière de protection des données à caractère personnel, à savoir notamment :
- Un traitement des données licite, loyal et transparent, fondé sur l’une des 6 bases légales mentionnées à l’article 6 du RGPD. En particulier, ENGIE Solutions met à disposition des personnes concernées, préalablement à la mise en place effective d’un traitement de données personnelles, les mentions obligatoires prévues par les articles 13 ou 14 du RGPD.
- Des finalités déterminées, explicites et légitimes.
- Des données adéquates, pertinentes et limitées au regard des finalités pour lesquelles elles sont traitées (principe deminimisation).
- Une durée de conservation préalablement définie et limitée au regard des finalités définies et des lois applicables, au-delà de laquelle les données doivent être effacées ou rendues anonymes.
- Un traitement garantissant une sécurité appropriée : ENGIE Solutions adopte une démarche de sécurisation des données personnelles conformément au principe du Security By Design en imposant une analyse des risques cybersécurité en amont des projets. Des campagnes de sensibilisation et audits internes sont régulièrement menés pour assurer et vérifier la bonne application des règles de sécurité. Le cas échéant, les entités ont mis en place une procédure de gestion des violations de données qui décrit les rôles, les moyens et les obligations des parties prenantes internes et externes.
- Un encadrement des relations d’ENGIE Solutions avec ses sous-traitants (au sens de la réglementation applicable) à travers l’utilisation d’un clausier juridique aux standards exigeants.
- L’encadrement des transferts de données personnelles en dehors de l’Union Européenne (ou hors pays « adéquat »), dans des conditions conformes et sécurisées (Binding Corporate Rules, clauses contractuelles types,…).
3. Acteurs et gouvernance de la conformité
S’agissant de la gouvernance mise en place au niveau du Groupe ENGIE, il est renvoyé à la Politique Groupe, en particulier son chapitre 2.1.
Ses activités de base n’impliquant pas de traitement de données personnelles sensibles à grande échelle ni un suivi régulier et systématique à grande échelle de personnes physiques, ENGIE Solutions n’a pas l’obligation de désigner un Délégué à la Protection des Données (ou Data Protection Officer « DPO ») en application de l’article 37 du RGPD. Toutefois, un Data Privacy Manager (« DPM ») a été désigné par la Direction générale d’ENGIE Solutions pour piloter les activités de mise en conformité sous la coordination du DPM du Groupe ENGIE. Des réseaux de correspondants (appelés « CDPM ») ou DPM d’entités sont mis en place pour déployer la conformité au sein de leurs entités de rattachement respectives (filiales, directions territoriales ou opérationnelles).
Le DPM a notamment pour missions, au niveau d’ENGIE Solutions, d’assurer la mise en œuvre effective de la Politique et veiller à son application ; définir, mettre en œuvre et suivre un programme annuel de conformité privacy afin d’en garantir une gestion efficace et en constante amélioration ; coordonner, le cas échéant, la gestion des violations de données et l’exercice des droits des personnes concernées ; rendre compte annuellement au DPM Groupe ENGIE.
Relais du DPM au niveau des filiales, directions territoriales ou opérationnelles, les CDPM contribuent à la tenue du registre des traitements d’ENGIE Solutions et/ou de la filiale concernée et au déploiement des actions, bonnes pratiques et autres outils de conformité mis en place.
De manière générale, tous les personnels d’ENGIE Solutions sont responsables, à leur niveau, de la protection des données à caractère personnel qu’ils sont amenés à manipuler dans le cadre de leurs missions professionnelles, en application notamment de la Charte d’Utilisation des Ressources Informatiques et de Télécommunication et/ou des stipulations de leur contrat de travail.
4. Moyens de la conformité
ENGIE Solutions met en place divers moyens et dispositifs visant à la mise en œuvre pratique de la présente Politique et au respect des principes rappelés au paragraphe 3 ci-dessus. Une liste non exhaustive de ces moyens et dispositifs, qu’il appartient à chaque entité d’ENGIE Solutions de mobiliser, est présentée ci-après.
4.1. Registres de traitements
Chaque Entité d’ENGIE Solutions légalement tenue met en place et met à jour un registre de ses activités de traitement en qualité de Responsable de traitement (RT) et (le cas échéant) un registre de ses activités en qualité de Sous-traitant (ST) de données à caractère personnel. Une procédure décrit les modalités de remontée et les acteurs impliqués afin d’assurer l’enregistrement des nouveaux traitements dans les registres ainsi que la mise à jour de ceux-ci.
4.2. Protection des données dans les nouveaux projets
Dans le cadre de nouveaux projets comportant un traitement de données à caractère personnel, les directions métiers désignent des chargés de projet et définissent les finalités et moyens des traitements concernés. Une procédure détaille les modalités d’intégration de la protection des données à caractère personnel dans le management de projet, qui passe par la consultation du DPM et l’analyse par ce dernier de la conformité du projet au regard de la réglementation (Privacy by design & by default). A cette occasion, le DPM identifie si le traitement implique ou non la réalisation d’une Analyse d’Impact relative à la Protection des Données (« AIPD »).
4.3. Recours à des sous-traitants de données personnelles
Lorsque ENGIE Solutions agit en qualité de responsable de traitement et fait appel à des sous-traitants, elle s’assure que ces derniers présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la réglementation applicable en matière de protection des données à caractère personnel et garantisse la protection des droits de la personne concernée.
A cet effet, ENGIE Solutions a élaboré et déployé un modèle de questionnaire (request for proposal), visant à évaluer la conformité au RGPD des sous-traitants pressentis. En outre, chaque contrat impliquant un traitement de données personnelles comporte une clause prévoyant les obligations du sous-traitant concernant les traitements opérés pour le compte d’une ou des entités d’ENGIE Solutions. Cette clause inclut les obligations d’ordre public prévues par l’article 28 du RGPD ainsi que l’engagement de respecter la réglementation applicable.
4.4. Transferts de données hors UE
Les directions responsables de traitement sont tenues d’identifier et de remonter vers le DPM tout outil ou application métier existant comportant un transfert de données hors EEE. Ces transferts font l’objet d’une évaluation d’impact du transfert (« Transfer Impact Assessment » ou « TIA ») visant à (i) déterminer le rôle d’ENGIE Solutions dans le transfert, (ii) déterminer l’instrument devant encadrer le transfert, (iii) évaluer les risques d’atteinte à l’efficacité des garanties qu’offrent les instruments de transfert et (iv) identifier les mesures supplémentaires nécessaires devant être adoptées pour que le niveau de protection des données transférées soit porté à un niveau équivalent à celui de la réglementation européenne applicable.
En pratique, les outils de transfert utilisés sont :
- Pour les transferts mis en œuvre au sein du groupe ENGIE : les Règles d’entreprise contraignantes (BCR) adoptées par le Groupe ENGIE (et mises à jour en 2022), dont le périmètre concerne les données à caractère personnel des employés, des candidats, des anciens salariés et des employés partis à la retraite.
- Dans les autres situations : par la signature entre les parties au transfert de données à caractère personnel de clauses contractuelles types (CCT) de la Commission européenne du 4 juin 2021.
4.5. Sécurité des données
ENGIE Solutions prend les mesures physiques, techniques et organisationnelles pour garantir la confidentialité, l’intégrité et la disponibilité des données personnelles, en particulier afin de les protéger contre la perte, la destruction accidentelle, l’altération et l’accès non autorisé. A cet effet, la Politique de Sécurité des Systèmes d’Information du Groupe ENGIE détermine les mesures générales applicables au Système d’Information d’ENGIE Solutions. Par ailleurs, un programme de contrôle interne Groupe dédié vise à vérifier annuellement le respect des règles et bonnes pratiques en matière de gestion des habilitations et plus généralement de cybersécurité.
Par ailleurs, des chartes informatiques ou autres documents équivalents précisent les règles générales d’usage et de sécurité que les collaborateurs et plus largement les utilisateurs des ressources informatiques et de télécommunication d’ENGIE Solutions sont tenus de respecter.
A travers son Responsable Sécurité des Systèmes d’Information (RSSI), la DSI joue un rôle essentiel dans la mise en place des aspects Security by Design and by Default dans les projets. Il travaille en constante collaboration avec le DPM, notamment via la tenue de comités opérationnels réguliers.
Le cas échéant, le Groupe a mis en place une procédure en matière de violation des données (« Data Breach Procedure ») applicable à l’ensemble des GBU et entités du Groupe. Ce processus est basé sur les phases de gestion des incidents de sécurité de la norme ISO 27035. ENGIE Solutions applique ladite procédure, qui décrit les moyens et outils permettant de détecter, d’évaluer et de répondre à une violation de données.
4.6. Information et droits des personnes concernées
Des modèles de mentions d’information conformes aux articles 12 à 14 du RGPD, établis par le service du DPM, sont mis à disposition des directions responsables de traitement sur un espace sharepoint dédié.
Toute personne physique concernée par les traitements de données mis en œuvre par ENGIE Solutions peut exercer ses droits sur ses données à caractère personnel en utilisant le formulaire accessible sur le site internet d’ENGIE Solutions ou en s’adressant au DPM à : ENGIE SOLUTIONS - Data Privacy Manager (DPM) - 1 place Samuel de Champlain – Faubourg de l’Arche - 92930 Paris La Défense Cedex - case courrier 13-12 et/ou via l’adresse mail : dpm.engie-solutions@engie.com.
4.7. Sensibilisation, formation et veille
ENGIE Solutions diffuse une culture de protection des données auprès de l’ensemble de ses collaborateurs.
Divers moyens d’information, de sensibilisation et de formation sont mis à disposition des collaborateurs afin de comprendre les implications de la réglementation et connaître les règles et les procédures à suivre, notamment des flyers, vidéos, podcasts, modules e-learning, etc..
Chaque nouveau collaborateur fait l’objet d’une information lors de son embauche et reçoit une documentation l’informant sur les règles à suivre et sur ses droits en matière de données à caractère personnel, notamment par la remise de la présente Politique. Des formations spécifiques et autres outils de sensibilisation sont mis en place au profit de certaines catégories d’acteurs plus spécialement concernés (IT, communication, etc.). Les CDPM bénéficient d’une formation initiale approfondie et d’une formation continue dans le cadre des comités de pilotage organisés par le DPM et via une newsletter hebdomadaire diffusée par l’équipe DPM.
4.8. Contrôles, reporting, et audits
La conformité à la protection des données est un processus d’amélioration continue. Divers processus et outils sont destinés à contrôler et améliorer la conformité en la matière.
Un référentiel de protection des données est géré par le DPM du Groupe. Il s’agit d’un ensemble de contrôles clés à mettre en œuvre sur un périmètre Groupe défini par le DPM du Groupe selon une approche basée sur les risques. Le DPM d’ENGIE Solutions est responsable d’effectuer une auto-évaluation annuelle afin de confirmer l’efficacité de ces contrôles clés et de définir des actions d’amélioration si nécessaire.
Un exercice annuel ERM (Enterprise Risk Management) est préparé par le DPM du Groupe en coordination avec la Direction de Gestion des Risques. Il est de la responsabilité du DPM de conduire l’exercice et de mettre en œuvre les plans d’action nécessaires. La conduite effective de ces actions peut faire l’objet d’audits menés par la Direction de l’Audit Interne du Groupe.
De manière générale, le DPM est un acteur de première ligne du contrôle périodique de la conformité à la réglementation applicable et de l’application de la présente Politique. Conformément à la réglementation en vigueur, ENGIE Solutions peut notamment effectuer des contrôles et audits auprès de ses sous-traitants de données à caractère personnel, à travers des contrôles qualité généraux et/ou à l’initiative du DPM.
Enfin, ENGIE Solutions s’engage, en cas de contrôle de la CNIL (ou, lorsqu’elle agit en qualité de sous-traitant, de ses clients), à coopérer activement et loyalement avec cette dernière (resp. ces derniers), conformément aux règles définies par la réglementation (et/ou les dispositions contractuelles) applicable(s).
5. Mise à jour de la Politique
La Politique pourra être adaptée à tout moment, notamment afin de tenir compte des évolutions éventuelles de l’organisation et/ou de la gouvernance d’ENGIE Solutions, de la réglementation européenne ou nationale, de la Politique Groupe, ainsi que des décisions et référentiels de l’autorité de contrôle (CNIL). En conséquence, vous êtes invité à vous référer régulièrement à la présente page.
B. Protection des données personnelles sur le site
La présente notice constitue une application de l’article 13 du Règlement UE 679/2016, sur la protection des personnes physiques à l’égard du traitement des données personnelles, ainsi que sur la libre circulation de ces données (ci-après « RGPD ») et vise à décrire les caractéristiques du traitement des données personnelles des Utilisateurs à l’occasion de la consultation et l’utilisation du site www.engie-solutions.com.
La protection de vos données personnelles est d'une grande importance pour ENGIE Solutions. Vous pouvez contacter notre Data Privacy Manager en écrivant à : dpm.engie-solutions@engie.com.
1. Identité du responsable de traitement
Dans le cadre de l’utilisation des services accessibles sur son Site internet (www.engie-solutions.com) (ci-après le « Site »), ENGIE Energie Services exerçant sous la marque « ENGIE Solutions » (« nous », « notre »), société anonyme au capital social de 698 555 072,00 €, inscrite au RCS Nanterre sous le numéro 552 046 955, sise au 1 place Samuel de Champlain – Faubourg de l’Arche 92930 Paris La Défense – Cedex, en qualité de responsable de traitement, est susceptible de collecter et de traiter des données à caractère personnel vous concernant. En conséquence, la Société s’assure d’être en conformité avec les règlementations applicables en matière de protection des données à caractère personnel.
2. Moyens de collecte de données
Lors de votre navigation sur notre Site, vous êtes susceptible de nous communiquer vos données à caractère personnel par différents moyens, notamment via des témoins de connexion ou par le biais de formulaires de contact accessibles sur le Site.
Les témoins de connexion (cookies) sont également des moyens de collecter certaines données vous concernant. Pour plus de détails à cet égard nous vous invitons à consulter notre notice relative aux Cookies
Les formulaires de contact sont présents sur le Site dans l’onglet « Contact ». Les caractéristiques du traitement de vos données personnelles collectées via les formulaires susmentionnés sont rappelées à l’Utilisateur avant la soumission du formulaire.
3. Finalités du traitement des données et fondement juridique
Selon les cas, ENGIE Solutions traite principalement vos données pour les finalités suivantes :
- La gestion des demandes d’information et/ou de contact (client, presse, …) ;
- Enrichissement de la base vivier des candidats en permettant des candidatures spontanées ;
- La gestion commerciale et le marketing ;
- La gestion et le suivi de la relation avec les clients de manière générale ;
- L’optimisation du fonctionnement du site.
La finalité du traitement vous est rappelée au moment de la collecte de la donnée.
La base légale des traitements décrits dans cette notice de protection des données dépend des données personnelles collectées et du contexte dans lequel la collecte a été faite. La Société peut traiter vos données parce que vous avez consenti au traitement ou si nous avons des motifs d’intérêt légitime ou pour assurer le respect d’une obligation légale ou dans le cadre d’une obligation contractuelle, particulier :
- Dépôt de cookies non-essentiels : consentement de l’Utilisateur
- Formulaire contact « informations commerciales » : intérêt légitime
- Formulaire contact « communication / presse » : intérêt légitime
- Offres d’emploi : Exécution du contrat ou mesures précontractuelles
- Candidature spontanée aux fins d’intégrer la base vivier des candidats de la Société : consentement
- Service client : Exécution du contrat ou de mesures précontractuelles
- Offre de service / fournisseur : Exécution du contrat ou de mesures précontractuelles
4. Minimisation des données
A travers chaque formulaire de contact disponible sur le Site, la Société ne collecte que les données personnelles strictement nécessaires au regard des finalités pour lesquelles elles sont traitées, à savoir uniquement à des fins administratives et commerciales. Les finalités poursuivies par les formulaires sont rappelées avant leur soumission par l’Utilisateur.
La Société invite les Utilisateurs à minimiser les données (confidentielles ou à caractère personnel) qu’ils transmettent lorsque le Site en offre la possibilité dans les zones de commentaire libre ou en pièce jointe.
Plusieurs catégories de données sont collectées via le Site, notamment :
- Via les formulaires de contact : Données relatives à l’identité (nom, prénom, e-mail), données relatives à la vie professionnelle (coordonnées professionnelles, fonctions, entité d’appartenance, objet de la prise de contact). Les informations obligatoires dans les formulaires sont signalées par un astérisque.
- Via les cookies non-essentiel en cas d’acceptation de leur dépôt par l’Utilisateur : données relatives à la navigation (date, heure, adresse IP, page consultée, le navigateur utilisé, etc.).
5. Destinataires des données et divulgation
Les données traitées ne sont communiquées qu’à des destinataires habilités et déterminés au regard des finalités du traitement. Ces destinataires peuvent être des services internes à la Société (DRH, service commercial, …).
L’Utilisateur est informé que lorsque sa demande d’information porte sur des offres et solutions proposées par d’autres Entités du Groupe ENGIE, auquel la Société appartient, pour son confort, et sous réserve de son consentement, la Société est susceptible de transmettre sa demande aux entités du Groupe ENGIE les plus à même d’y répondre (ex : demande de réalisation de devis et/ou demandes d’informations pour des offres et services non fournis par la Société). Cette information sera rappelée à l’Utilisateur avant la soumission du formulaire de contact et son consentement préalable à la mise à disposition de son contact à d’autres entités du Groupe ENGIE sera recueilli. Dans ce cadre, lorsque les données de contact de l’Utilisateur sont fournies à d’autres entités du Groupe ENGIE, celle-ci sont amenées à prendre contact avec celui-ci et à traiter ses données personnelles en qualité de responsables de traitement indépendants de la Société.
Dans certains cas, (enquêtes d’autorités de contrôle compétentes, litiges, …) la Société peut être amenée à communiquer les données personnelles à des tiers autorisés, non directement impliqués dans les traitements, par exemple :
- Pour le respect d’une obligation légale ;
- Pour protéger et défendre nos droits de propriété ;
- Pour prévenir tout fait nuisible sur le Site ;
- Pour assurer la sécurité des utilisateurs du Site ou le public.
6. Durée de conservation des données
La Société ne conserve vos données que pour la durée nécessaire aux finalités pour lesquelles elles ont été collectées.
La durée de conservation des données obéit à trois temps : la conservation en base active accessible uniquement aux personnes dûment habilitées pour l’accomplissement de la finalité pour laquelle elles ont été collectées ; la base intermédiaire d’accès restreint pour une durée déterminée répondant aux obligations légales en vigueur ; la purge qui consiste à supprimer définitivement les données.
La durée de conservation applicable vous sera rappelée au moment de la collecte de la donnée. S’agissant de la durée de conservation des cookies non essentiels déposés dans le navigateur de l’Utilisateur (sous réserve de recueil de son consentement préalable), celle-ci est rappelée à la page Cookies.
7. Sécurité des données
ENGIE Solutions s’attache à la sécurité de vos données personnelles. En conséquence, la Société met en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques, compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement.
8. Sous-traitance
ENGIE Solutions est de susceptible de recourir à des prestataires de services et autres tiers pour faciliter, maintenir, améliorer, analyser et sécuriser l’utilisation du Site. Ces prestataires peuvent avoir accès à vos données personnelles à la seule et unique fin d’exécuter les tâches conformément aux finalités du traitement. La Société s’assure que les prestataires disposent des garanties nécessaires dans l’exécution des tâches qui leurs sont imparties pour assurer la protection de vos données.
9. Transfert de données
Vos données personnelles peuvent, le cas échéant, faire l’objet d’un traitement sur un territoire extérieur à l’Union européenne.
La Société prend toutes les mesures nécessaires à la protection du traitement de vos données et veille à ce qu’aucun transfert ne soit effectué dans un pays ou une entité n’assurant pas des garanties suffisantes. Par exemple, à travers la signature par le destinataire, au cas par cas, de clauses contractuelles basées sur le modèle de la Commission européenne ou tout autre mécanisme prévu par le RGPD dès lors que le pays destinataire n’est pas considéré par la Commission européenne comme assurant un niveau de protection adéquat. Par exemple, des garanties ont été prises pour s’assurer d’un niveau de protection suffisant des données personnelles au sein du Groupe ENGIE auquel la Société appartient, via la signature par celle-ci des Binding Corporate Rules.
10. Vos droits sur vos données
Conformément à la loi Informatique et libertés du 6 janvier 1978 et au Règlement européen 2016/679 du 27 avril 2016, vous disposez d’un droit d’accès, de rectification, d’effacement, de limitation, de portabilité des données personnelles qui vous concernent. Vous disposez également d’un droit d’opposition au traitement de vos données à caractère personnel pour des raisons tenant à votre situation particulière. Vous disposez enfin du droit de définir des directives générales et particulières définissant la manière dont vous entendez que soient exercés ces droits après votre décès.
Pour exercer vos droits, il suffit d’en faire la demande par le biais du formulaire dédié à vos droits (disponible ici) ou par voie postale : ENGIE Solutions, Data Privacy Manager, Tour T1 - case courrier 13.12 – 1 place Samuel de Champlain – 92930 Paris La Défense – Cedex – France.
Dans les deux cas, un justificatif vous sera demandé afin de confirmer votre identité.
Nous mettons tout en œuvre pour vous répondre dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de la réception de votre demande. Conformément à la réglementation applicable, nous nous réservons la possibilité de prolonger ce délai à trois mois si votre demande est particulièrement complexe.
Enfin, vous disposez également de la faculté de saisir l’autorité de contrôle compétente, la Commission Nationale Informatique et Libertés (CNIL), afin d’y introduire une réclamation, si vous estimez que le traitement qui vous concerne est effectué en violation de la réglementation. De plus amples informations sont disponibles sur le site web https://www.cnil.fr/.
C. Notices d’informations spécifiques
Les activités d’ENGIE Solutions sont principalement réalisées au bénéfice d’organismes publics ou privés qui sont des personnes morales. Toutefois, la réalisation efficace et le développement de ces activités B2B impliquent naturellement la mise en œuvre d’un certain nombre de traitements de données à caractère personnel (i.e. se rapportant à des personnes physiques).
Conformément aux articles 13 et 14 du Règlement général sur la protection des données (« RGPD ») et au souci de transparence d’ENGIE Solutions, les notices d’information ci-après exposent les modalités selon lesquelles cette dernière est amenée à traiter et assure la protection des données personnelles relatives aux interlocuteurs, contacts et/ou représentants (personnes physiques) dans le cadre des différents contextes professionnels et types de relations qu’elle est susceptible d’entretenir avec ses partenaires et autres parties prenantes, publics comme privés.
Le nombre et le contenu de ces notices peuvent être mis à jour périodiquement.
Notice relative à l'enregistrement des appels au service Clients ENGIE Solutions
1. Identification du Responsable du traitement
ENGIE Energie Services exerçant sous la marque « ENGIE Solutions » (société anonyme au capital social de 698 555 072,00 €, inscrite au RCS Nanterre sous le numéro 552 046 955, sise au 1 place Samuel de Champlain – Faubourg de l’Arche 92930 Paris La Défense – Cedex), est susceptible d’enregistrer et traiter les appels (entrants et sortants) effectués auprès de son centre d’appels par les représentants de ses clients et/ou d’autres personnes physiques en lien avec la réalisation de ses prestations. A cette occasion, ENGIE Solutions agit en qualité de responsable du traitement des données à caractère personnel concernées.
2. Finalités et bases juridiques du traitement
Ce traitement de données à caractère personnel est effectué par ENGIE Solutions, en qualité de responsable de traitement, sur la base de ses obligations contractuelles, pour assurer la prise en compte et le traitement des remontée d’incidents, réclamations et/ou accidents survenus sur les installations dont elle assure l’exploitation technique. A titre subsidiaire, l’enregistrement de l’appel peut être utilisé dans le cadre de la formation des agents et du suivi de la qualité du traitement des demandes par le centre d’appels.
3. Catégories de données personnelles que nous traitons
Les données à caractère personnel traitées aux fins décrites ci-avant sont celles relatives à :
- La typologie d’appel (intervention, dépannage, réclamation);
- Enregistrement des appels, à défaut d’opposition, que la personne concernée peut effectuer en début d’appel.
4. Mesures de protection mises en place pour protéger les données personnelles – Transferts de données
L’enregistrement est conservé pour le compte d’ENGIE Solutions par son prestataire et accessible uniquement aux agents dûment habilités. La collecte et la conservation s’effectuent à l’aide d’outils informatiques, de manière à garantir la sécurité et la confidentialité des données, et toujours en conformité avec des dispositions de la réglementation applicable.
Les enregistrements ne sont pas transférés en dehors de l’Union européenne.
5. Conservation des données personnelles
A défaut d’opposition en début d’appel (possibilité rappelée à la personne concernée), l’enregistrement sera conservé pendant 2 mois. L’enregistrement peut faire l’objet d’une transcription et/ou de comptes rendus pouvant être conservés pendant un (1) an s’agissant des réclamations et incidents remontés ou pendant trois (3) ans en cas d’accident, notamment corporel.
6. Droits des personnes physiques relatifs à leurs données personnelles – Contact Data Privacy
A défaut d’opposition, la personne concernée peut exercer, à tout moment, ses droits d'accès, de rectification et d’effacement prévus par le RGPD :
- Par courrier à l’adresse suivante : ENGIE Solutions, Data Privacy Manager, Tour T1 - case courrier 13.12 – 1 place Samuel de Champlain – 92930 Paris La Défense – Cedex – France
- Ou par courriel à l’adresse : dpm.engie-solutions@engie.com
La personne concernée a également le droit d'introduire une plainte auprès de l’autorité de contrôle compétente, soit la CNIL (www.cnil.fr) si elle considère que le traitement la concernant est effectué en violation de la réglementation applicable.
Dernière mise à jour le 22/12/22