Fichiers clients-prospects et vente en ligne

 
Identité du responsable de traitement Le responsable de traitement est la Ville de Type444, adresse88 code77 Type5.

Finalités du traitement
La Ville de Type444 est susceptible de traiter vos données à caractère personnel dans le cadre de la gestion d’ensemble des services en matière de Fichiers clients-prospects et vente en ligne. Ainsi, peuvent être inclus dans ces activités :

• Effectuer les opérations relatives à la gestion des clients concernant :les contrats ; les commandes ; les livraisons ; les factures ; la comptabilité et en particulier la gestion des comptes clients ; un programme de fidélité au sein d’une entité ou plusieurs entités juridiques ; le suivi de la relation client tel que la réalisation d’enquêtes de satisfaction, la gestion des réclamations et du service après-vente ; la sélection de clients pour réaliser des études, sondages et tests produits (sauf consentement des personnes concernées recueilli, ces opérations ne doivent pas conduire à l’établissement de profils susceptibles de faire apparaître des données sensibles - origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes)
• Effectuer des opérations relatives à la prospection : La gestion d’opérations techniques de prospection (ce qui inclut notamment les opérations techniques comme la normalisation, l’enrichissement et la déduplication) ;
  la sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, de test produit et de promotion. Sauf consentement des personnes concernées recueilli, ces opérations ne doivent pas conduire à l’établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ;
  La réalisation d’opérations de sollicitations.
• L’élaboration de statistiques commerciales ;
• La cession, la location ou l’échange des fichiers de clients et des fichiers de prospects ;
• L’actualisation de ses fichiers de prospection par l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique, en application des dispositions du code de la consommation ;
• L’organisation de jeux concours, de loteries ou de toute opération promotionnelle à l’exclusion des jeux d’argent et de hasard en ligne soumis à l’agrément de l’Autorité de Régulation des Jeux en Ligne
• La gestion des demandes de droit d’accès, de rectification et d’opposition
• La gestion des impayés et du contentieux, à condition qu’elle ne porte pas sur des infractions et/ou qu’elle n’entraine pas une exclusion de la personne du bénéfice d’un droit, d’une prestation ou d’un contrat ;
• La gestion des avis des personnes sur des produits, services ou contenus.

Catégorie de données :
Les personnes concernées sont les Administrés.
Les données traitées sont relatives :

• L’identité : civilité, nom, prénoms, adresse, numéro de téléphone (fixe et/ou mobile), numéro de télécopie, adresses de courrier électronique, date de naissance, code interne de traitement permettant l’identification du client (ce code interne de traitement ne peut être le numéro d’inscription au répertoire national d’identification des personnes physiques (numéro de sécurité sociale), ni le numéro de carte bancaire, ni le numéro d’un titre d’identité). Une copie d’un titre d’identité peut être conservée aux fins de preuve de l’exercice d’un droit d’accès, de rectification ou d’opposition ou pour répondre à une obligation légale ;
• Les données relatives aux moyens de paiement : relevé d’identité postale ou bancaire, numéro de chèque, numéro de carte bancaire, date de fin de validité de la carte bancaire, cryptogramme visuel (ce dernier ne devant pas être conservé)
• Les données relatives à la transaction : belles que le numéro de la transaction, le détail de l’achat, de l’abonnement, du bien ou du service souscrit
• La situation familiale, économique et financière : vie maritale, nombre de personnes composant le foyer, nombre et âge du ou des enfant(s) au foyer, profession, domaine d’activité, catégorie socioprofessionnelle, présence d’animaux domestiques ;
• Les données relatives au suivi de la relation commerciale : demandes de documentation, demandes d’essai, produit acheté, service ou abonnement souscrit, quantité, montant, périodicité, adresse de livraison, historique des achats et des prestations de services, retour des produits, origine de la vente (vendeur, représentant, partenaire, affilié) ou de la commande, correspondances avec le client et service après-vente, échanges et commentaires des clients et prospects, personne(s) en charge de la relation client
• Les données relatives aux règlements des factures : modalités de règlement, remises consenties, reçus, soldes et impayés n’entraînant pas une exclusion de la personne du bénéfice d’un droit, d’une prestation ou d’un contrat soumis à autorisation de la Commission. Les informations relatives aux crédits souscrits (montant et durée, nom de l’organisme prêteur) peuvent également être traitées en cas de financement de la commande par crédit ;
• Les données nécessaires à la réalisation des actions de fidélisation, de prospection, d’étude, de sondage, de test produit et de promotion, la sélection des personnes ne pouvant résulter que de l’analyse des données listées ;
• Les données relatives à l’organisation et au traitement des jeux concours, de loteries et de toute opération promotionnelle telles que la date de participation, les réponses apportées aux jeux concours et la nature des lots offerts ;
• Les données relatives aux contributions des personnes qui déposent des avis sur des produits, services ou contenus, notamment leur pseudonyme ;
• Les données collectées par le biais des actions visées.

Destinataires des données :
Peuvent seuls, dans la limite de leurs attributions respectives, être destinataires des données traitées :

• Les partenaires, les sociétés extérieures ou les filiales d’un même groupe de sociétés ;
• Les organismes, les auxiliaires de justice et les officiers ministériels, dans le cadre de leur mission de recouvrement de créances ;
• L’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique

Durée de conservation
Concernant les données relatives à la gestion de clients et de prospects :
Les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale. Toutefois, les données permettant d’établir la preuve d’un droit ou d’un contrat, ou conservées au titre du respect d’une obligation légale, peuvent faire l’objet d’une politique d’archivage intermédiaire pour une durée n’excédant pas la durée nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur (notamment mais non exclusivement celles prévues par le code de commerce, le code civil et le code de la consommation). Il convient de prévoir à cet effet une base de données d’archives dédiée ou une séparation logique dans la base de données active, après avoir opéré un tri des données pertinentes à archiver.
Pour pouvoir conserver, au-delà de la durée de conservation fixée, des informations relatives à des clients ou des prospects à des fins d’analyses ou d’élaboration de statistiques agrégées, les données doivent être anonymisées de manière irréversible, en procédant à la purge de toutes les données à caractère personnel, y compris les données indirectement identifiantes. A cet égard, le G29 a adopté un avis le 10 avril 2014 sur les techniques d’anonymisation
Les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (par exemple, à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services ou du dernier contact émanant du client).
Les données à caractère personnel relatives à un prospect non client peuvent être conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (par exemple, une demande de documentation ou un clic sur un lien hypertexte contenu dans un courriel ; en revanche, l’ouverture d’un courriel ne peut être considérée comme un contact émanant du prospect).
Au terme de ce délai de trois ans, le responsable de traitement pourra reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales. En l’absence de réponse positive et explicite de la personne, les données devront être supprimées ou archivées conformément aux dispositions en vigueur, et notamment celles prévues par le code de commerce, le code civil et le code de la consommation
Concernant les pièces d’identité :
En cas d’exercice du droit d’accès ou de rectification, les données relatives aux pièces d’identité peuvent être conservées pendant le délai prévu dans le code de procédure pénale (soit un an). En cas d’exercice du droit d’opposition, ces données peuvent être archivées pendant le délai de prescription prévu dans le code de procédure pénale (soit trois ans)
Concernant les données relatives aux cartes bancaires:
Les données relatives aux cartes bancaires doivent être supprimées une fois la transaction réalisée, c’est-à-dire dès son paiement effectif, qui peut être différé à la réception du bien, augmenté, le cas échéant, du délai de rétractation prévu pour les contrats conclus à distance et hors établissement;
Dans le cas d’un paiement par carte bancaire, le numéro de la carte et la date de validité de celle-ci peuvent être conservés pour une finalité de preuve en cas d’éventuelle contestation de la transaction, en archives intermédiaires, durant treize mois suivant la date de débit. Ce délai peut être étendu à quinze mois afin de prendre en compte la possibilité d’utilisation de cartes de paiement à débit différé. Ces données doivent être utilisées uniquement en cas de contestation de la transaction. Les données conservées à cette fin doivent faire l’objet de mesures de sécurité ;
Les données relatives aux cartes bancaires peuvent être conservées plus longtemps sous réserve d’obtenir le consentement exprès du client, préalablement informé de l’objectif poursuivi (par exemple, faciliter le paiement des clients réguliers). La durée de conservation ne saurait alors excéder la durée nécessaire à l’accomplissement de la finalité visée par le traitement. Le consentement doit prendre la forme d’un acte de volonté explicite et peut par exemple être recueilli par l’intermédiaire d’une case à cocher, non pré-cochée par défaut. Il ne peut résulter de l’acceptation de conditions générales. La Commission recommande par ailleurs que le responsable de traitement intègre directement sur son site marchand un moyen simple et gratuit de revenir sur le consentement donné pour la conservation des données de la carte, afin de faciliter les achats ultérieurs
De manière générale, les données relatives au cryptogramme visuel ne doivent pas être conservées au-delà du temps nécessaire à la réalisation de chaque transaction, y compris en cas de paiements successifs ou de conservation du numéro de la carte pour les achats ultérieurs
Lorsque la date d’expiration de la carte bancaire est atteinte, les données relatives à celles-ci doivent être supprimées
Concernant la gestion des listes d’opposition à recevoir de la prospection :
Lorsqu’une personne exerce son droit d’opposition à recevoir de la prospection auprès d’un responsable de traitement, les informations permettant de prendre en compte son droit d’opposition doivent être conservées au minimum trois ans à compter de l’exercice du droit d’opposition. Ces données ne peuvent en aucun cas être utilisées à d’autres fins que la gestion du droit d’opposition et seules les données nécessaires à la prise en compte du droit d’opposition doivent être conservées (par exemple, l’adresse électronique)
Concernant les statistiques de mesure d’audience :
Les informations stockées dans le terminal des utilisateurs (ex : cookies), ou tout autre élément utilisé pouridentifier les utilisateurs et permettant leur traçabilité, ne doivent pas être conservés au-delà de treize mois. Les nouvelles visites ne doivent pas prolonger la durée de vie de ces informations.
Les données de fréquentation brutes associant un identifiant ne doivent pas être conservées plus de treize mois.Au-delà de ce délai, les données doivent être soit supprimées, soit anonymisées
Dans la limite de leurs attributions respectives, peuvent avoir accès aux données personnelles :

• Le personnel habilité du service marketing, du service commercial, des services chargés de traiter la relation client et la prospection, des services administratifs, des services logistiques et informatiques ainsi que leurs responsables hiérarchiques ;
• Le personnel habilité des services chargés du contrôle (commissaire aux comptes, services chargés des procédures internes du contrôle...) ;
• Le personnel habilité des sous-traitants dès lors que le contrat signé entre les sous-traitants et le responsable du traitement fait mention des obligations incombant aux sous-traitants en matière de protection de la sécurité et de la confidentialité des données (article 35 de la loi du 6 janvier 1978 modifiée) et précise notamment les objectifs de sécurité devant être atteints.

Droits des personnes concernées par les traitements mis en œuvre par la Ville 
Vous disposez de droits présentés ci-après concernant vos données à caractère personnel, que vous pouvez exercer :

• en écrivant, par courrier simple, à l’adresse suivante : Mairie de la Ville de Type444, Délégué à la protection des données, adresse88 code77 Type5
• en contactant le DPO via le lien de contact : DPO Type444 - Formulaire contact

Toute demande devra être accompagnée d'un justificatif d'identité
 
•    Droit d’accès de la personne concernée
La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou non traitées et lorsqu’elles le sont, l’accès auxdites données personnelles ainsi que les informations concernant le traitement de ses données (finalité, nature des données recueillies, durée de conservation…).  
•    Droit de rectification
La personne concernée a le droit d’obtenir du responsable de traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte-tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. 
•    Droit à l’effacement (« droit à l’oubli »)
La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant. Le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais notamment pour les motifs suivants : 
-    les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées,
-    la personne concernée a retiré son consentement au traitement de ses données,
-    la personne a exercé son droit d’opposition, 
-    le traitement est illicite
-    l’effacement correspond au respect d’une obligation légale,
-    les données ont été collectées dans le cadre de l’offre de services de la société de l’information pour les mineurs (moins de 15 ans).
•    Droit d’opposition
La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement de données à caractère personnel le concernant fondé sur l’exécution d’une mission d’intérêt public ou aux fins d’intérêts légitimes poursuivis par le responsable du traitement. Le responsable de traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la contestation, l’exercice ou la défense de droits en justice.
•    Droit à la limitation du traitement
La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque que l’un des éléments suivants s’applique :
-    le responsable de traitement doit vérifier l’exactitude des données,
-    le responsable doit apprécier la légitimité des motifs légitimes d’une demande d’opposition,
-    le responsable du traitement n’a plus besoin des données à caractère personnel mais celles-ci sont encore nécessaires à la personne concernée pour la contestation, l’exercice ou la défense de droits en justice,
-    la personne concernée s’est opposée au traitement en vertu de sa situation particulière, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable  du traitement prévalent sur ceux de la personne concernée.
Il convient d’entendre le terme « limitation » comme étant le gel temporaire du traitement des données.
•    Droits à la portabilité des données
La personne concernée a le droit de recevoir les données personnelles qu’elles ont fournies au responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable dans les conditions suivantes : 
-    le traitement se fonde sur le consentement de la personne ou sur un contrat
-     le traitement est effectué à l’aide de procédés automatisés

Désignation, missions et contact du Délégué à la protection des données à la Ville
La Ville de Type444 a désigné un Délégué à la protection des données (nom en anglais : Data Protection Officer - DPO) en application du RGPD.
Le DPO informe et conseille l’organisme qui l’a désigné sur ses obligations, contrôle le respect du RGPD, coopère avec la Commission Nationale de l’Informatique et des Libertés (CNIL) et fait office de point de contact pour les personnes concernées par les traitements de données de la Ville.
Pour exercer vos droits ou pour toute question sur le traitement de vos données, vous pouvez contacter le Délégué à la protection des données de la ville de Type444 via le lien de contact : DPO Type444 - Formulaire contact

Délais de réponse
La Ville de Type444 s’engage à répondre à votre demande d’accès, de rectification ou d’opposition ou toute autre demande dans un délai raisonnable qui ne saurait dépasser un mois à compter de la réception de votre demande. Une prolongation de deux mois est possible en cas de demande requérant la sollicitation des prestataires de la Ville ou de demande complexe.
Afin que la Ville puisse répondre au plus vite votre demande, précisez, si possible, le contexte dans lequel la collecte de vos données a été effectuée.

Sous-traitance
La Ville de Type444 est susceptible de faire appel à des sous-traitants pour la mise en œuvre de traitement pour son compte. À ce titre, elle veille à ce que les prestataires présentent des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection de vos droits.
 
Plainte auprès de l’autorité compétente
Si vous estimez, après avoir contacté le Délégué à la protection des données personnelles de la Ville de Type444, que vos droits ne sont pas respectés ou que le dispositif de contrôle d’accès n’est pas conforme aux règles de protection des données, vous pouvez adresser une réclamation à la CNIL à partir du lien suivant : https://www.cnil.fr/fr/plaintes  ou par courrier auprès de la CNIL, 3 place de Fontenoy - TSA 80715 – 75334 PARIS CEDEX 07.
 
Glossaire
Données à caractère personnel : Toute information relative à une personne physique qui peut être identifiée par quelqu’un quel que soit le moyen utilisé (exemple : nom, photographie, adresse internet nominative, numéro de téléphone, données de localisation, empreinte digitale…),  
Traitement : Toute opération portant sur des données à caractère personnel, quel que soit le procédé utilisé (collecte, enregistrement, organisation, structuration, conservation, extraction, consultation, utilisation, communication par transmission, rapprochement ou interconnexion…)
Personne concernée : La personne physique identifiable dont les données à caractère personnel font l’objet d’un traitement.
Responsable du traitement : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. 
Destinataire : La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel qu’il s’agisse ou non d’un tiers. 
Consentement : Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte par déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.