1. Définitions
RGPD : le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et tout autre texte subséquent de droit français y compris ses textes d’application
LIL : Loi « Informatique et Libertés » du 6 janvier 1978 française amendée.
Données à caractère personnel : toute donnée relative à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale
Traitement : au sens du RGPD un « traitement » correspond à toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction
Responsable de Traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement
Sous-Traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement
Personnes concernées : ce sont les personnes physiques dont les données à caractère personnel font l’objet d’un traitement.
DPO : le Data Protection Officer, ou Délégué à la Protection des Données en français, est la personne chargée de veiller à la protection des données à caractère personnel au sein de l’organisme qui l’a désigné et de contrôler le respect des réglementations en vigueur et applicable à la protection des données personnelles
2. Qui est le responsable des traitements réalisés sur vos données personnelles ?
Le responsable des traitements de données personnelles couverts par la présente politique est :
DALKIA SA – Tour Europe – 33, place des corolles – TSA 77655 - 92099 Paris La Défense Cedex
3. Quelles sont les différentes activités de traitement de vos données personnelles pouvant être mise en œuvre par Dalkia ? (Les objectifs poursuivis ? Les justifications légales ? Les durées de conservation des données ?)
Conformément à la réglementation applicable, la société Dalkia veille à respecter l’ensemble des principes généraux applicables aux traitements des données à caractère personnel.
A ce titre, la société Dalkia veille en particulier à ce que :
- Les données à caractère personnel ne soient collectées que pour des finalités explicites, déterminées à l’avance et s’engage à ne pas les traiter ultérieurement d’une manière incompatible avec ces finalités ;
- Seules des données à caractère personnel strictement nécessaires à la poursuite de la finalité du traitement puissent être collectées et s’assure pour chaque traitement pouvoir invoquer valablement l’une des bases légales autorisant la mise en œuvre d’un traitement de données personnelles. Lorsque la fourniture des données personnelles est obligatoire et qu’elle conditionne la conclusion d’un contrat, la société Dalkia s’assure en informer au préalable les personnes concernées ;
- Les données à caractère personnel ne soient conservées que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Pour être le plus transparent possible en ce qui concerne les traitements des données personnelles vous concernant, vous trouverez ci-dessous un tableau contenant l’ensemble des traitements réalisés par la société Dalkia agissant en qualité de responsable de traitement, avec les différentes finalités des traitements, les fondements juridiques permettant leur mise en œuvre ainsi que les durées de conservation des données apliquées.
Gestion du site web www.dalkia.fr | Traiter les demandes d’informations ou de mise en relation avec un service spécifique reçues via les formulaires de contact | Art. 6.1a du RGPD : Le consentement de la personne concernée | 3 mois |
Traiter les demandes de téléchargement des livres blanc de Dalkia | |||
Analyser le comportement des visiteurs, mesurer l’audience et établir des statistiques de fréquentation du site web www.dalkia.fr | Art. 6.1f du RGPD : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Dalkia qui sont d’apprécier la performance de son site web, de comprendre le comportement des internautes, de déterminer l’efficacité des stratégies mises en place dans le cadre d’une démarche d’amélioration continue de l’expérience utilisateur | 25 mois | |
Distinguer automatiquement un utilisateur humain d’un ordinateur | Art. 6.1f du RGPD : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Dalkia qui sont d’utiliser une solution de protection anti-spam et d’arrêter l’activité de « bots malveillants » |
30 jours
| |
Mise à disposition d’une fonctionnalité de moteur de recherche intégrée au site web | Art. 6.1f du RGPD : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Dalkia qui sont :
- D’améliorer significativement l'expérience de l’utilisateur ; - De faciliter l’accès à l’information du site web ; - D’améliorer l’efficacité de la navigation ; - De réduire le taux de rebond des utilisateurs. | 90 jours | |
Gestion des activités commerciales | Gérer les contrats (gestion des commandes, de la livraison, de l’exécution du service ou de la fourniture du bien, des factures et paiements) | Article 6.1 b du RGPD : Le traitement est nécessaire à l'exécution d’un contrat ou à l'exécution de mesures précontractuelles | Les données personnelles sont conservées 10 ans à compter de la fin de la relation contractuelle |
Suivre la relation client | Article 6.1 b du RGPD : Le traitement est nécessaire à l'exécution d’un contrat | ||
Réaliser des statistiques commerciales et des enquêtes de satisfaction | Art. 6.1f du RGPD : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Dalkia qui sont d’élaborer sa stratégie commerciale et d’orienter ses actions commerciales en tenant compte des résultats des études | ||
Réaliser des actions de prospection commerciale | Art. 6.1f du RGPD : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Dalkia qui sont de développer sa clientèle en présentant et en proposant à des prospects professionnels ses services ou de proposer à ses clients de nouveaux produits ou services analogues à ceux déjà fournis | 3 ans à compter de leur collecte pour les prospects non clients | |
Gérer les réclamations et suivre les actions qualité | Article 6.1 b du RGPD : Le traitement est nécessaire à l'exécution d’un contrat | Les données personnelles sont conservées 5 ans à compter de la fin de la relation contractuelle | |
Gestion des achats (Hors achat énergie) | Gestion opérationnelle des achats : Gérer l'ensemble du cycle de vie des achats, de la demande à la réception et au paiement, en assurant la fluidité des opérations et la conformité aux contrats | - Article 6.1 b du RGPD : Exécution d'un contrat pour les données des fournisseurs et de leurs représentants nécessaires à l'exécution des contrats de fourniture de biens ou services
- Art. 6.1f du RGPD : Intérêt légitime pour le traitement de données nécessaires à la gestion administrative et logistique des commandes, y compris le suivi des livraisons et la résolution des litiges, lorsque ces traitements ne sont pas strictement liés à l'exécution contractuelle mais contribuent à la bonne marche de l'activité | - Documents comptables et fiscaux (factures, bons de commande/livraison) : 10 ans à compter de la clôture de l'exercice comptable concerné, en vertu du Code de Commerce (articles L123-22 et L123-22-1) et du Code général des Impôts (article L102 B)
- Données relatives à l'exécution du contrat (hors documents comptables) : Jusqu'à 5 ans après la fin de la relation contractuelle. Cette durée correspond au délai de prescription de droit commun en matière commerciale (article 2224 du Code Civil), période pendant laquelle des actions en justice peuvent être intentées
- Les données et documents nécessaires à Dalkia pour se défendre en cas de mise en jeu de la garantie décennale, ou pour pouvoir l'activer vis-à-vis de ses propres sous-traitants ou fournisseurs sont conservés 10 ans à compter de la réception des travaux
- Pour les candidats non retenus : 3 ans après la fin du processus d'appel d'offres |
Gestion de la relation fournisseurs : Établir, maintenir et développer des relations efficaces et durables avec les fournisseurs, évaluer leurs performances et gérer les risques | - Article 6.1 b du RGPD : Exécution d'un contrat pour les données nécessaires au suivi des engagements contractuels
- Art. 6.1f du RGPD : Intérêt légitime pour l'évaluation des fournisseurs, la gestion des litiges non contractuels, la gestion des audits, l'amélioration continue des processus d'achat | ||
Sourcing et appels d'offres : Identifier et sélectionner les meilleurs fournisseurs potentiels pour répondre aux besoins de l'entreprise, organiser des consultations et des appels d'offres | - Article 6.1 b du RGPD : Exécution de mesures précontractuelles lorsque les traitements sont nécessaires à la conclusion d'un futur contrat
- Art. 6.1f du RGPD : Intérêt légitime pour la prospection de nouveaux fournisseurs, la constitution de bases de données de fournisseurs potentiels, la gestion des candidatures aux appels d'offres | ||
Gestion stratégique des achats (analyse des dépenses, optimisation des coûts, gestion des risques) | Art. 6.1f du RGPD : Intérêt légitime pour l'agrégation et l'analyse de données (souvent pseudonymisées ou anonymisées) afin de réaliser des reportings, des tableaux de bord, des analyses de tendances, des prévisions et des stratégies d'achat. Il s'agit d'améliorer l'efficacité et la performance globale de la fonction achats | ||
Gestion des installations Dalkia | Gestion énergétique des installations (Modélisation et optimisation) | Article 6.1 b du RGPD : Le traitement est nécessaire à l'exécution d’un contrat | Les données sont conservées pendant la durée du contrat. Les données sont par la suite archivées 10 années après la date de la fin du contrat en cas de contentieux sinistre sur la bonne exécution du contrat R&M. Lors de l’archivage des données, celles-ci seront anonymisées |
Gestion de la maintenance des installations techniques et des travaux sur sites clients | |||
Réaliser des audits de sécurité des installations industrielles et tertiaires | Art. 6.1f du RGPD : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Dalkia qui sont de protéger son patrimoine contre les actes de malveillance et de s’assurer de la sécurité de ses biens | 5 années après la date de la fin de l’audit ou du contrat conclu avec le client | |
Gestion de la communication | Réaliser des actions de communication interne ou externe (newsletters, interviews, annuaire professionnel, magazine “Energies le mag”, liste de diffusion…) |
Art. 6.1a et 6.1f du RGPD : en fonction de la situation, les personnes concernées sont informées au moment de la collecte de leurs données personnelles si leur consentement est requis ou bien si le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Dalkia | Les données personnelles sont conservées jusqu’à l’opposition de la personne concernée |
Organiser et gérer des événements | Les données personnelles sont conservées jusqu’ à la clôture des actions liées à l'événement | ||
Gestion des partenariats | Centraliser, vérifier et suivre les partenariats (parrainages et mécénats) | Article 6.1 b du RGPD : Le traitement est nécessaire à l'exécution d’un contrat | Les données personnelles sont conservées 5 ans à compter de la fin de la relation contractuelle |
Gestion des obligations de conformité RGPD | Traiter, répondre et suivre les demandes d’exercice de droits Informatique et Libertés | Art. 6.1c du RGPD : Le traitement est nécessaire au respect d’une obligation légale à laquelle Dalkia est soumise : Art. 15 à 22 du RGPD | Les données personnelles sont conservées 5 ans à compter de la clôture du dossier
Les pièces d’identité éventuellement transmises sont :
-Immédiatement supprimées lorsque la demande ne nécessitait pas la transmission d’une pièce d’identité
- Supprimés à la suite de la réalisation du contrôle d’identité |
Notifier aux personnes concernées, la survenance d’une violation de données personnelles susceptible d’engendrer un risque élevé pour leurs droits et libertés | Art. 6.1c du RGPD : Le traitement est nécessaire au respect d’une obligation légale à laquelle Dalkia est soumise : Art. 33 et 34 du RGPD | Les données relatives à une notification de violation de données à caractère personnel sont conservées dix ans à compter de la clôture du dossier | |
Évaluation des tiers dans le cadre d’une relation d’affaire | Vérification de l’honorabilité et de l'intégrité du tiers par une appréciation de sa qualité intrinsèque (antécédents judiciaires, sanctions, réputation, etc.) et la verification de l'integrite de la relation d’affaires (Avant et pendant toute la relation contractuelle) | Art. 6.1c du RGPD : Le traitement est nécessaire au respect d’une obligation légale à laquelle Dalkia est soumise :
La loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (“Loi sapin 2”)
| Les données sont conservées pendant 5 ans après la cessation de la relation d'affaires ou après la date de la réalisation de l'opération évaluée |
Gestion de la lutte contre fraude | Prévention des risques de fraude (Évaluation des risques de fraude et actions de sensibilisation)
Recueil et traitement des signalements de suspicion de fraude (gestion des enquêtes, des investigations et des procédures procédures amiables, contentieuses, et disciplinaires)
Pilotage, reporting et suivi du dispositif de lutte contre la fraude | Art. 6.1f du RGPD : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Dalkia qui sont de prévenir, limiter ou stopper tout acte volontaire permettant de tirer un profit illégitime ou de contourner des obligations légales ou des règles internes | Jusqu’à 6 mois à compter de l’émission de l’alerte qui n’est pas pertinente
5 ans à compter de la clôture du dossier de fraude pour les alertes pertinentes
|
Gestion et traitement des alertes professionnelles locales hors utilisation de l’outil BKMS mis à disposition par EDF | Mettre à disposition un dispositif de recueil et de traitement des alertes professionnelles en application de :
- La loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (“Loi sapin 2”) visant à révéler un manquement à une règle spécifique
- La loi n°2017-399 du 27 mars 2017 relative au devoir de vigilance
| Art. 6.1c du RGPD : Le traitement est nécessaire au respect d’ obligations légales auxquelles Dalkia est soumis :
- Art. 8.III et 17.II.2° de la loi “Sapin 2”
- Art. L. 225-102-4 du code de commerce, issu de la loi dite de "devoir de vigilance"
| - Les données relatives à une alerte considérée par Dalkia comme n'entrant pas dans le champ du dispositif, sont détruites sans délai
- Lorsqu’aucune suite n’est donnée à une alerte rentrant dans le champ du dispositif, les données relatives à cette alerte sont détruites par Dalkia, dans un délai de deux mois à compter de la clôture des opérations de vérification
- Lorsqu'une procédure disciplinaire ou contentieuse est engagée à l'encontre d’une personne mise en cause ou de l'auteur d'une alerte abusive, les données relatives à l'alerte peuvent être conservées par Dalkia jusqu'au terme de la procédure ou de la prescription des recours à l’encontre de la décision
NB : Dalkia est susceptible de conserver les données collectées sous forme d’archives intermédiaires le temps nécessaire à la protection du lanceur de l’alerte ou à la constatation des infractions continues |
Mettre à disposition un dispositif de recueil et de traitement des” alertes éthiques” non imposé par la loi et visant à révéler un manquement à une règle spécifique prévue dans le code de conduite “Éthique et conformité” de Dalkia | Art. 6.1f du RGPD : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Dalkia qui sont de préserver sa culture d'intégrité et d’entretenir sa bonne réputation | ||
Gestion du registre Cadeaux & Invitations | Mettre en place un registre répertoriant les cadeaux, invitations ou autres avantages (reçus, offerts ou refusés) permettant la réalisation d’un contrôle et de mieux prévenir et détecter des actes de corruption | Art. 6.1c du RGPD : Le traitement est nécessaire au respect d’une obligation légale à laquelle Dalkia est soumise :
La loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (“Loi sapin 2”) | 5 ans en base active et jusqu’à 30 en archivage intermédiaire |
Gestion des enquêtes administratives requises pour les employés de ses sous-traitants dans le cadre des marchés sensibles et classifiés au sens de la réglementation | - Constitution et conservation des documents nécessaires aux enquêtes administratives et leur transmission aux autorités d'habilitation
- Permettre l’accès à des informations protégées ou classifiées selon le besoin d’en connaître
| Art. 6.1c du RGPD : Le traitement est nécessaire pour respecter les obligations de sécurité imposées à Dalkia par la réglementation française sur la Protection du Secret de la Défense Nationale.
Ce dispositif s'appuie principalement sur :
• Le Code de la défense (Partie législative et réglementaire) .
• Le Code pénal (Protection des intérêts fondamentaux de la Nation) .
• L'Instruction Générale Interministérielle n° 1300 (IGI 1300). | - Contrôle Primaire (CPR) : 4 ans maximum (3 ans de validité + 1 an de conservation administrative)
- Habilitation de niveau "Secret" : 8 ans maximum (7 ans de validité + 1 an de conservation administrative)
- Habilitation de niveau "Très Secret" : 6 ans maximum (5 ans de validité + 1 an de conservation administrative)
- Dossier en cas de refus d'habilitation : 1 an maximum après la notification de la décision négative |
Gestion du recrutement du personnel | Permettre à toute personne de se créer un compte personnel candidat sur le site emploi de Dalkia | Article 6.1 b du RGPD : Le traitement est nécessaire à l'exécution de mesures précontractuelles | 2 ans à compter du dernier contact avec la personne concernée
NB : Pour se prémunir d’un éventuel contentieux en discrimination, certaines données nécessaires à des fins probatoires pourront être conservées en archivage intermédiaire et jusqu’à 5 ans à compter de la date de décision d’embauche
|
Traiter les candidatures et gérer les entretiens en vue d’évaluer la capacité d’un candidat à occuper un emploi et de mesurer ses aptitudes professionnelle | |||
Réaliser des tests en vue d’apprécier la personnalité du candidat ou ses connaissances en matière de sécurité au travail | Article 6.1 f du RGPD : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Dalkia qui sont :
- d’évaluer l’adéquation entre la personnalité du candidat et les attentes recherchées pour le poste à pourvoir et l’entreprise;
- de favoriser le bien être et la sécurité des salariés au travail | ||
Recours à une fonctionnalité de matching recruteur intégrée au logiciel de recrutement permettant le classement automatisé des candidatures reçues en réponse à une offre d’emploi
(Cette fonctionnalité n’est utilisée que si le nombre de candidatures reçues pour une offre d’emploi dépasse un certain seuil et peut conduire à l’adoption d’une décision entièrement automatisée de rejet d’une candidature dans le cadre d’un premier tri) | Article 6.1 f du RGPD : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Dalkia qui sont de :
- Réduire le temps de traitement des candidatures en sélectionnant plus rapidement les candidats pertinents
- Analyser en profondeur uniquement les CV pertinents
- Recruter les bonnes personnes pour le bon poste avec une prise de risque limitée
En ce qui concerne l’adoption d’une décision entièrement automatisée, il est fait application de l’exception visée à l’article 22.2.a du RGPD : le traitement est nécessaire à la conclusion d’un contrat de travail
Afin d'établir un classement automatisé des candidatures reçues en réponse à une offre d’emploi, de la plus pertinente à la moins pertinente, l’outil utilisé ne prend en compte que les aptitudes professionnelles du candidat et sa capacité à occuper le poste proposé et ce de manière non biaisé et selon des critères objectifs et pertinents, réduisant ainsi les biais du recrutement. Par exemple, les caractèristiques telles que le sexe, l’origine ethnique et l’âge ne sont pas utilisées, ce qui favorise la diversité et l’inclusion. | ||
Constituer une CVthèque dans la perspective de contacter des profils pertinents afin de leur présenter des offres d’emploi | Art. 6.1a du RGPD : le consentement de la personne concernée | ||
Réaliser des campagnes de ciblage de candidats potentiels aux fins de promouvoir des annonces d’emploi de Dalkia | 12 mois | ||
Consultation de profils sur des sources accessibles en ligne au public (Réseau social professionnel tel que LinkedIn et autres sites dédiés à l’emploi) en vue d’identifier des candidats potentiels susceptibles d’être intéressés par une offre d’emploi | Article 6.1 f du RGPD : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Dalkia qui sont de favoriser et d’améliorer son recrutement en recherchant des profils de candidats potentiels sur des plateformes de réseaux sociaux professionnels et autres sites dédiés à l’emploi | Les données consultées ne sont pas conservées. | |
Enregistrement des informations relatives à un profil disponible sur des sources accessibles en ligne au public (Réseau social professionnel tel que LinkedIn et autres sites dédiés à l’emploi) en vue de se constituer un vivier de candidats potentiels permettant d'engranger des candidatures (Collecte indirecte de données d’identification, données de contact et données relatives à la vie professionnelle) | Art. 6.1a du RGPD : le consentement de la personne concernée | 2 ans
(3 mois en l’absence d’un consentement de la personne contactée ou en cas d’impossibilité de recueillir le consentement en l’absence d’adresse email de contact)
| |
Gestion de l’accueil et suivi des visiteurs externes sur site | Assurer la sécurité des biens et des personnes, ainsi que le contrôle des accès aux locaux | Article 6.1 f du RGPD : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Dalkia qui sont d’ assurer la sécurité des biens, des personnes (collaborateurs et visiteurs) et des informations confidentielles présentes sur le site | 3 mois |
Gestion des contentieux (Hors sinistres et contentieux sociaux) | Instruction et réponse aux demandes reçues
Suivre et traiter les contentieux devant les juridictions | Article 6.1 b du RGPD : Le traitement est nécessaire à l'exécution d’un contrat | Les données personnelles sont en principe conservées pendant toute la durée de la procédure contentieuse et jusqu’à l'épuisement des délais de prescription des actions qui pourraient être engagées. |
Gestion et suivi des relations avec les auxiliaires de justice | Etablissement des listes des auxiliaires de justice privilégiés
Gestion de la relation contractuelle avec les auxiliaires de justice sollicités | Art. 6.1f du RGPD : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Dalkia qui est de structurer et optimiser le recours à des auxiliaires de justice à même d’accompagner la direction juridique.
Art .6.1b du RGPD : Le traitement est nécessaire à l'exécution d’un contrat ou de mesures précontractuelles | Les données personnelles sont conservées pendant toute la durée de la relation contractuelle et jusqu’à 5 ans, en archivage intermédiaire, à compter de la fin de la relation contractuelle |
4. Qui a accès à vos données personnelles ?
Afin d’être en mesure de fournir ses services et dans le cadre strict de chaque finalité des traitements mis en œuvre par la société Dalkia, les catégories de destinataire suivantes, sont susceptibles de recevoir communication des données personnelles :
- Les personnels internes à la société Dalkia, soumis à une obligation de confidentialité et spécialement habilités à traiter les données personnelles au regard de leurs fonctions
- Les différents fournisseurs, partenaires commerciaux et prestataires techniques de la société Dalkia, spécialement autorisés à traiter des données personnelles pour son compte et conformément aux exigences de la réglementation applicable
- Les autorités légalement habilitées dans le cadre de leurs missions ou de l’exercice d’un droit de communication
5. Comment sécurisons-nous vos données à caractère personnel ?
Dalkia dispose d’une Politique de Sécurité des Systèmes d’Information (PSSI). Le responsable de la sécurité des systèmes d’Information du groupe est notamment chargé de son déploiement au sein du groupe.
Dalkia met en œuvre un ensemble de dispositifs reconnus pertinents par les experts en sécurité informatique pour assurer un bon niveau de protection des Systèmes d’Information et en particulier :
- la protection contre les virus et les logiciels malveillants,
- la surveillance des réseaux,
- la protection contre les intrusions,
- les mises à jour des logiciels,
- la sécurisation des locaux,
- la protection des postes de travail et des serveurs.
Dalkia fait régulièrement évoluer et renforce ces dispositifs en les adaptant aux possibilités technologiques et aux nouvelles vulnérabilités identifiées. Le comportement et la vigilance de chaque utilisateur est également un élément clé de la sécurité du patrimoine informatique. Pour cela, chaque utilisateur du système d’information doit respecter la charte informatique de Dalkia. Celle-ci est mise à jour chaque fois que la réglementation en matière de sécurité ou de PDP évolue de manière importante.
Dalkia a mis en place des mesures de contrôle de la sécurité.
Toutes ces mesures de sécurité visent à s’assurer que ces données sont protégées de manière appropriée contre tout accès, toute modification, divulgation ou destruction non autorisée des données traitées.
Ces mesures sont notamment les suivantes :
Les collaborateurs, sous-traitants, prestataires et interlocuteurs de Dalkia qui ont besoin d'accéder à vos données à caractère personnel pour exercer leurs rôles, fonctions et responsabilités :
- sont habilités et ont un accès qui leur est strictement réservé ;
- sont sensibilisés et/ou formés, selon leurs rôles, fonctions et responsabilités ;
- ont signé, selon leurs fonctions et responsabilités, un engagement de confidentialité et ont été informés des risques et sanctions en cas de manquement à cette obligation.
Nous chiffrons les données lorsque cela est nécessaire.
Nous réalisons régulièrement des audits de nos fournisseurs traitant des données à caractère personnel pour notre compte ainsi que des audits internes.
Dalkia s’assure que les tiers, prestataires et sous-traitants au sens RGPD respectent et appliquent les mesures de sécurité appropriées.
6. Les données personnelles sont-elles l’objet d’un transfert vers un pays situé hors de l’Union européenne ?
Par principe, Dalkia veille à minimiser les situations dans lesquelles les données personnelles pourraient faire l’objet d’un transfert vers un pays situé hors de l’Union européenne. Néanmoins, il peut arriver que l’utilisation des services fournis par un prestataire ou une application tierce puisse impliquer, au sens de la réglementation, un transfert des données vers un pays situé hors de l’Union européenne. Dans ces situations, Dalkia veillera à ce que les traitements impliquant un transfert de données hors de l’Union européenne puissent n’avoir lieu qu’à condition d’assurer un niveau de protection de vos données personnelles suffisant et approprié. A ce titre, Dalkia, avec le soutien de son délégué à la protection des données, utilisera l’un des mécanismes prévus par la réglementation permettant d’encadrer ces transferts, à moins qu’il ne puisse être possible de bénéficier d’une dérogation dans des situations particulières et à des conditions spécifiques.
Néanmoins, à la suite des évolutions récentes de la jurisprudence européenne et en particulier de l’invalidation du « Privacy Shield » (Accord qui permettait le transfert de données entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données sans autre formalité), Dalkia veillera également, conformément aux recommandations du Comité Européen de la Protection des Données relatives aux mesures qui complètent les mécanismes de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE, à évaluer l’efficacité pratique du mécanisme de transfert choisi au regard de la législation du pays tiers. S’il ressort de cette analyse que le mécanisme de transfert choisi n’offre pas un niveau de protection essentiellement équivalent à celui de l’UE, Dalkia veillera, dans la mesure du possible, à ce que des mesures supplémentaires (Techniques, organisationnelles ou contractuelles) soient mises en place et régulièrement évaluées.
7. Quels sont les droits dont vous disposez sur vos données personnelles et comment pouvez-vous les exercer ?
Dans les conditions prévues par la réglementation applicable, vous disposez d’un droit d’accès, de rectification et d’opposition, d’un droit de portabilité, d’effacement, de limitation et du droit de définir des directives relatives à la conservation, à l’effacement et à la communication de vos données personnelles après votre décès.
En tant que candidat ayant fait l’objet d’une prise de décision exclusivement automatisée de refus suite à l’utilisation d’une fonctionnalité de matching recruteur, vous disposez également du droit d’obtenir une intervention humaine de la part de l’un de nos chargés de recrutement pour qu’il puisse réexaminer la décision, du droit d’exprimer votre point de vue et de contester la décision qui aura été prise.
Pour en savoir plus sur les droits dont vous disposez, vous pouvez consulter la page dédiée de la Commission nationale de l’informatique et des libertés (CNIL): https://www.cnil.fr/fr/les-droits-pour-maitriser-vos-donnees-personnelles
Vous avez la possibilité d'exercer vos droits en vous adressant au délégué à la protection des données (« DPO ») de DALKIA SA :
- Par voie postale : DPO – Tour Europe – 33, place des corolles – TSA 77655 - 92099 Paris La Défense Cedex,
- Par voie électronique : dpo@dalkia.fr
Si malgré la réponse apportée par Dalkia à votre demande, vous n’étiez pas satisfait, vous avez la possibilité d'introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL).
8. Révision et mise à jour de notre politique de protection des données
Le contenu de la présente politique de protection des données s'inscrit dans une démarche de revue dynamique des traitements relevant de la responsabilité de Dalkia qui est susceptible de mises à jour régulières.
Dalkia peut donc être amené à modifier la présente politique de confidentialité afin :
- De modifier la liste des traitements ainsi que leurs conditions de mise en oeuvre
- D'y intégrer les évolutions réglementaires et jurisprudentielles