Politique de protection des données personnelles

Introduction

La présente politique de protection des données personnelles, ainsi que tout document auquel il y est fait référence, détaille les conditions dans lesquelles CARFUEL, société par actions simplifiée, sise au 1 rue Jean-Mermoz, ZAE Saint-Guénault, 921002, Evry, immatriculée au Registre du commerce et des sociétés d’Evry sous le numéro 306 094 194(ci-après « Nous » ou « Carfuel ») procède, en qualité de responsable de traitement, aux traitements décrits ci-après et portant sur les données personnelles de tout utilisateur et/ou client du site internet https://prime-eco-travaux.carrefour.fr (ci-après le « Site ») et/ou tout adhérent au programme de fidélité « Ma Carte Carrefour » (ci-après un « Adhérent ») – tout utilisateur du Site ou Adhérent étant désigné ci-après par le terme « vous ».

Nous Nous sommes engagés dans une politique d’adoption et de respect de normes exigeantes en matière de déontologie et d’éthique de la relation client, et notamment de protection des données personnelles.

À ce titre, Nous traitons vos données personnelles dans le respect des principes fixés par la réglementation applicable à la protection des données personnelles, et notamment le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données personnelles, et la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux liberté, telle que modifiée relative à la protection des personnes physiques à l’égard des traitements de données personnelles (ci-après ensemble la « Réglementation Données Personnelles »).

Conformément à la Réglementation Données Personnelles, le terme « donnée personnelle » désigne, dans le cadre de la présente politique, toute information vous concernant et permettant de vous identifier directement ou indirectement (en qualité de personne physique).

Cette politique de protection des données personnelles pourra être amenée à évoluer en fonction du contexte légal et réglementaire applicable, comme de l’évolution de notre activité, et notamment des produits ou services que Nous vous proposons.


Les principes applicables au traitement de vos données personnelles

Dans le cadre de la collecte et du traitement de vos données personnelles, Nous Nous attachons au respect des principes suivants :
(i) Licéité : vos données personnelles sont collectées pour des finalités déterminées, explicites et légitimes, et sur le fondement d’une base légale appropriée ;

(ii) Transparence : vous êtes informé de chaque traitement que Nous mettons en œuvre et des caractéristiques de ces traitements au moyen de notices d’information, aucun traitement de vos données personnelles n’étant mis en œuvre à votre insu ;

(iii) Minimisation : Nous Nous engageons à ne collecter et traiter que les données personnelles vous concernant qui sont strictement nécessaires à l’objectif que Nous poursuivons et à les mettre à jour régulièrement ;

(iv) Protection des données dès la conception et par défaut : lors de l’élaboration, de la conception, de la configuration et de l’utilisation d’applications, de services et de produits qui reposent sur le traitement de données personnelles, Nous prenons en compte votre droit à la protection des données personnelles et Nous Nous assurons auprès de nos partenaires qu’ils répondent aux prescriptions légales et permettent d’assurer effectivement la protection des données personnelles qui seront traitées ;

(v) Sécurité des données personnelles : Nous avons mis en place des mesures techniques et organisationnelles, adaptées en fonction du degré de sensibilité des données personnelles collectées, en vue d’assurer l’intégrité et la confidentialité de vos données personnelles et de les protéger contre toute intrusion malveillante, perte, altération ou divulgation à des tiers non autorisés. En particulier, Nous recourons à des techniques de chiffrement et/ou de pseudonymisation de vos données personnelles dès que cela est possible, utile, ou nécessaire ;

(vi) Engagements de nos prestataires et partenaires : Nous choisissons nos sous-traitants, prestataires et partenaires avec soin et leurs imposons : (a) d’assurer un niveau de protection de vos données personnelles équivalent au nôtre, (b) d’utiliser vos données personnelles dans la seule mesure nécessaire à la fourniture des services que nous leurs avons confiés, (c) de respecter la Réglementation Données Personnelles.


Le traitement de vos données personnelles

3.1 Personnes concernées

Les personnes concernées par les traitements que Nous réalisons sont :

  • tout utilisateur du Site ;
  • tout client du Site ;
  • tout Adhérent au Programme de Fidélité (« Adhérent »).

3.2 Collecte de données personnelles

Nous collectons des données personnelles vous concernant directement auprès de vous.
Nous collectons indirectement des données personnelles auprès de Carrefour France pour établir la confirmation avec le service en charge de la fidélité de votre statut d’Adhérent.

3.3 Cookies

Nous utilisons des cookies et autres traceurs. Retrouvez toutes les informations les concernant dans la page de politique des cookies.

3.4 Finalités des traitements, bases légales et durées de conservation

Nous mettons en œuvre différents traitements de vos données personnelles afin de poursuivre les finalités décrites ci-après, dont les bases légales sont les suivantes : votre consentement, l’exécution d’un contrat conclu avec vous, notre intérêt légitime, ou nos obligations légales et réglementaires.
Conformément à la Règlementation Données Personnelles, les données personnelles que Nous collectons seront conservées pour la seule durée nécessaire à l’accomplissement des finalités et ce pendant la durée détaillées dans le tableau ci-dessous, étant précisé qu’un utilisateur et/ou client du Site est considéré comme « actif » dès lors qu’il se connecte ou modifie son espace personnel sur le Site.
Au terme des délais de conservation décrits ci-après, vos données personnelles seront supprimées ou, pour celles que Nous sommes légalement tenus de conserver ou qui sont nécessaires à la sauvegarde de nos droits, placées en base d’archive et conservées pour une durée additionnelle correspondant à la durée de la prescription légale. Au terme de ce délai, vos données personnelles seront supprimées.
Les bases légales et durées de conservation associées à chaque finalité de traitement de vos données personnelles sont décrites ci-dessous :

Utilisation du site

FinalitéDescription du traitementBase légaleDurée de conservation
AccèsMise à disposition du Site, des produits et des services proposés sur le Site.Exécution des mesures pré-contractuelles prises à votre demande et/ou exécution du contratLes données personnelles relatives à votre activité sur le Site sont conservées pendant 3 ans à compter de votre dernière activité sur le Site.
CommunicationsGestion des communications que vous Nous adressez depuis le Site et suivi de nos échanges avec vous.Intérêt légitimeLes données personnelles relatives à vos communications sont conservées pendant 3 ans à compter chaque communication.
Statistiques et analysesRéalisation de statistiques et d’analyses pour améliorer le Site, nos produits et services.Intérêt légitimeLes données relatives à votre activité sur le Site sont conservées pendant 3 ans à compter de leur collecte.
CookiesDépôt et lecture de cookies non soumis à l’obtention de votre consentement.Intérêt légitimeLes traceurs/cookies et les données collectées par ceux-ci sont conservés pendant 13 mois à compter de leur dépôt.
SécuritéConservation des traces informatiques afin de prévenir et détecter les incidents de sécurité et de sécuriser les données personnelles des utilisateurs du Site ainsi que des systèmes d’information sous notre contrôle à partir desquels leurs données personnelles sont traitées.Intérêt légitimeLes données personnelles sont conservées pendant une durée de 1 mois à compter de la date de l’activité.

Gestion de la relation client

FinalitéDescription du traitementBase légaleDurée de conservation
Compte personnelCréation d’un compte personnel vous permettant de passer des commandes en ligne.Exécution des mesures pré-contractuelles prises à votre demande et/ou exécution du contratLes données personnelles relatives à votre compte personnel sur le Site sont conservées tant que vous disposez d’un compte personnel actif sans jamais dépasser 3 ans à compter de votre dernière activité.
SimulationsEstimer le potentiel d’économie d’énergie des travaux envisagés. Déterminer l’éligibilité de l’utilisateur à une prime CEE et son montant, le cas échéant bonifiée.Exécution des mesures pré-contractuelles prises à votre demande et/ou exécution du contratLes données personnelles sont conservées dans votre espace utilsateur. Pour les utilisateurs non inscrits, les données personnelles ne sont pas conservés.
Création et instruction de dossier travauxCréer un dossier de demande prime en fonction des travaux envisagés, et permettre son instruction à réception des documents justificatifsExécution des mesures pré-contractuelles prises à votre demande et/ou exécution du contratLes données personnelles sont conservées pendant 3 ans pour les données d’identification et de constitution de dossier non validé
Service client&ConsommateurGestion de vos sollicitations, questions et réclamations.Exécution des mesures précontractuelles prises à votre demande et/ou exécution du contratLes données personnelles relatives à vos sollicitations, questions et réclamations sont conservées pendant 5 ans à compter de chaque sollicitation, question et réclamation.
Enquêtes de satisfaction et recueil d’avisRecueil d’avis et réalisation d’enquêtes sur nos services.Intérêt légitimeLes données personnelles sont conservées pendant 3 ans à compter de la date de l’avis, de l’enquête ou des tables rondes sur nos produits ou services.

Marketing et publicité

FinalitéDescription du traitementBase légaleDurée de conservation
Diffusion de publicités personnalisées ou nonEnvoi de communications commerciales (promotions, offres spéciales), personnalisées ou non, sur tous supports tels que les sites web ou applications mobiles des sociétés du groupe Carrefour ou les sites web ou applications tierces que vous consultez.ConsentementLes traceurs/cookies publicitaires et les données collectées par ceux-ci sont conservés pendant 13 mois à compter du recueil de votre consentement.
Mesure d’audienceAnalyse de la performance des publicités que Nous vous adressons, et exploitation d’études de marchés afin de générer des données d’audience.ConsentementLes traceurs/cookies publicitaires et les données collectées par ceux-ci sont conservés pendant 13 mois à compter du recueil de votre consentement.
Prospection commerciale par voie électroniqueEnvoi de promotions et d’offres, personnalisées ou non, par voie électronique (sms, emails, automates d’appel).ConsentementVos données personnelles nécessaires à cette finalité sont conservées pendant 3 ans à compter de votre dernière activité.
Prospection commerciale par voie postale et par téléphone ou pour des produits et services analogues.Envoi de promotions et d’offres, personnalisées ou non, par voie postale ou par téléphone ou pour des produits et des services analogues à ceux achetés ou souscrits.Intérêt légitimeVos données personnelles nécessaires cette finalité sont conservées pendant 3 ans à compter de votre dernière activité.

Gestion du programme de fidélité "Ma carte Carrefour" ("Programme")

FinalitéDescription du traitementBase légaleDurée de conservation
Octroi d’avantages fidélitéProposition de services réservés aux adhérents du Programme.Exécution des mesures précontractuelles prises à votre demande et/ou exécution du contratLes données personnelles relatives à l’octroi d’avantages fidélité sont conservées pendant 3 ans à compter de leur octroi.
Reconnaissance de la qualité d’AdhérentNous utilisons l’information relative à votre adhésion au Programme afin de vous reconnaître en cette qualité pour les besoins de la gestion de la relation client et de votre éligibilité à l’offre Prime éco travaux.Exécution des mesures précontractuelles prises à votre demande et/ou exécution du contratLes données personnelles sont conservées tant que vous disposez d’un compte Fidélité sans jamais dépasser 3 ans à compter de votre dernière activité.

Respect de nos obligations légales et réglementaires, défense de nos droits, sauvegarde de nos intérêt et lutte contre la fraude

FinalitéDescription du traitementBase légaleDurée de conservation
Comptabilité et fiscalitéConservation des factures et autres documents obligatoires dans le cadre de la gestion de notre comptabilité générale et de nos obligations fiscales.Respect de nos obligations légales et règlementairesLes données personnelles traitées dans le cadre de la gestion de notre comptabilité et de nos obligations fiscales sont conservées pendant une période correspondant à la durée de l’exercice en cours, augmentée de 10 ans à compter de la clôture
Exercice de vos droitsGestion des demandes d’exercice de vos droits (enregistrement, communications avec vous, extraits des informations requises).Intérêt légitimeLes données personnelles relatives à vos demandes d’exercice de droits sont conservées pendant 1 ou 6 ans, selon le droit exercé.
Défense de nos droits et lutte contre la fraudeÉtablissement et conservation des moyens de preuve nécessaires à la défense de nos droits dans le cadre des actions et réclamations menées à notre encontre par vous et de lutte contre la fraude.Intérêt légitimeLes données personnelles nécessaires à l’établissement et à la conservation des moyens de preuve nécessaires à la défense de nos droits sont conservées pendant la durée des prescriptions légales applicables ou pendant toute la durée du litige s’il devait en survenir un.
Autorités publiques et judiciaireGestion des demandes d’autorités publiques ou judiciaires et communications avec les autorités.Intérêt LégitimeLes données personnelles relatives à la gestion des demandes d’autorités sont conservées pendant la durée de la procédure devant l’autorité.
L’archivage des dossiers CEEGestion et durée de validation des dossiers des CEERespect de nos obligations légales et règlementairesLes données personnelles relatives au dossier CEE sont conservées pour une durée de 9 ans à compter de la délivrance des CEE.
Lutte contre la fraudeContrôle de la pièce d’identité afin de prévenir les tentatives de fraudes.Intérêt légitimeLes données sont supprimées après leurs vérifications. Néanmoins, lorsqu’elles sont nécessaires à l’établissement et à la conservation des moyens de preuve nécessaires à la défense de nos droits, les données sont conservées pendant la durée des prescriptions légales applicables ou pendant toute la durée du litige s’il devait en survenir un.

Si Nous sommes conduits à traiter vos données personnelles pour des finalités autres que celles listées dans le tableau ci-dessus, vous en serez informés préalablement et Nous procéderons à toute démarche complémentaire éventuellement nécessaire pour assurer la conformité légale de tous les traitements réalisés.

3.5 Destinataires de vos données personnelles

Pour atteindre les finalités décrites ci-dessous et dans la seule mesure nécessaire à la poursuite de ces finalités, les données personnelles que Nous collectons peuvent être transmises à tout ou partie des destinataires suivants :

- au sein de Carfuel :
(i) les services en charge de la passation, de la gestion et de l’exécution des contrats et des commandes ;

(ii) les services en charge du marketing, de la relation client, des réclamations, de la prospection, des services administratifs, des services informatiques ;

- à l’extérieur de Carfuel :
(i) nos prestataires intervenant dans tout ou partie des traitements identifiés (notamment les prestataires informatiques pour maintenir le Site, les intermédiaires techniques dans le domaine de la publicité et des communications personnalisées) ;

(ii) nos partenaires qui opèrent des services disponibles sur notre Site et/ou des services accessibles dans le cadre de l’utilisation du Programme de fidélité ;

(iii) nos partenaires intervenant dans la réalisation et l’envoi de campagnes de prospection commerciale ;

(iv) les entités du Groupe Carrefour en charge de la gestion centralisée des bases de données de nos clients ;

(v) toute autre entité du Groupe Carrefour dont l’intervention serait nécessaire à l’exécution des traitements mis en œuvre conformément à cette politique.

(vi) les avocats, auxiliaires de justice et officiers ministériels, les autorités administratives ou judiciaires saisies d’un litige, dans le cadre du respect des obligations légales et réglementaires qui Nous incombent et pour Nous permettre d’assurer la défense de nos droits et intérêts ;

(vii) les entités chargées de notre contrôle externe, tels que les commissaires aux comptes et les auditeurs, ainsi que les entités chargées du contrôle interne ;

3.7 Transfert de données personnelles en dehors de l’Union Européenne

Les données personnelles collectées et traitées dans le cadre des finalités décrites ci-dessus peuvent être transmises à des sociétés situées dans des pays hors Union Européenne, et notamment aux Etats-Unis.
Dans ce cas, les transferts de données personnelles sont encadrés par une convention de transfert international de données établie conformément aux clauses contractuelles types de responsable du traitement à sous-traitant établies par la Commission européenne et actuellement en vigueur.
En outre, et lorsque la législation du pays tiers ne présente pas de protection équivalente à celle offerte par la Réglementation Données Personnelles, Nous veillons à la mise en œuvre de mesures supplémentaires de nature à garantir un niveau de protection de vos données personnelles essentiellement équivalent à celui prévu dans l’Union Européenne et à assurer le caractère effectif de cette protection.


Vos droits et leurs modalités d'exercice

4.1 Le contenu de vos droits

À l’égard de vos données personnelles, vous bénéficiez d’un droit d’accès, de rectification, d’effacement, d’opposition, de retrait de votre consentement, de limitation du traitement, de portabilité de vos données personnelles et du droit de donner des directives relatives au sort de vos données personnelles après votre décès.
Vous pouvez également retirer votre consentement à tout moment, pour les cas où celui-ci vous aurait été demandé.

4.2 L’exercice de vos droits

a) Droit d’accès
Vous pouvez demander à accéder à vos données personnelles que Nous collectons et traitons. Si vous formulez une demande d’accès, Nous vous fournirons une copie de vos données personnelles qui sont en notre possession ainsi que toutes les informations légalement requises.

b) Droit d’opposition
Vous pouvez vous opposer au traitement de vos données personnelles lorsque que celui-ci est basé notre intérêt légitime, à moins qu’il ne prévale sur vos propres intérêts et vos droits et libertés, ou qu’il soit nécessaire à la constation, l’exercice ou la défense de droits en justice.
Vous pouvez également, à tout moment, vous opposer au traitement de vos données personnelles par nos soins lorsque ce traitement est effectué à des fins de prospection commerciale par voie électronique ou postale.

c) Droit de rectification
Vous pouvez à tout moment nous demander de rectifier vos données personnelles inexactes ou incomplètes.

d) Droit d’effacement
Vous pouvez demander l’effacement de vos données personnelles sauf si celles-ci doivent être conservées pour nous permettre de respecter des obligations légales, ou pour nous permettre d’exercer ou de défendre nos droits ou encore, qu’elles sont nécessaires à l’exécution du contrat qui nous lie.

e) Droit à la limitation du traitement
Vous pouvez demander la limitation du traitement de vos données personnelles.

f) Droit à la portabilité
Vous pouvez demander la portabilité de vos données personnelles, sous réserve que l’exercice de ce droit ne porte pas atteinte aux droits et libertés de tiers.

g) Droit de définir des directives relatives au sort de vos données après votre décès
Vous avez la possibilité de définir des directives générales ou particulières concernant la manière dont vous entendez que soient exercés, après votre décès, les droits qui vous sont garantis par la réglementation applicable.
Les directives générales concernent l’ensemble des données personnelles qui vous concernent, et vous pouvez les révoquer à tout moment. Elles peuvent être enregistrées auprès d’un tiers de confiance numérique certifié par la Commission Nationale de l’Informatique et des Libertés (« CNIL »).
Les directives particulières concernent les traitements mentionnés par ces directives et sont enregistrées auprès de nous : elles font l’objet d’un consentement spécifique de votre part et vous pouvez les révoquer à tout moment.

4.2 L’exercice de vos droits

Afin d’exercer vos droits, vous pouvez renseigner ce formulaire ou nous envoyer un courrier électronique ou un courrier postal aux adresses ci-dessous, en précisant, le droit que vous souhaitez exercer, vos données personnelles concernées par votre demande et indiquant, votre nom et prénom ainsi que l’adresse email associée à votre compte Client :

Vous pouvez contacter le Délégué à la protection des données personnelles, à l’adresse 35 rue Pierre et Dominique Ponchardier, espace Fauriel, CS 60337, 42015 Saint Etienne cedex 2

4.5 L’introduction d’une réclamation

Si vous estimez, après nous avoir contactés à cet égard, que vos droits relatifs à vos données personnelles ne sont pas respectés, vous pouvez adresser une réclamation à la Commission nationale de l’informatique et des libertés (3 place de Fontenoy - TSA 80715 – 75334 Paris cedex 07 - téléphone : 01 53 73 22 22).