Politique de confidentialité

2.1. Responsable du traitement
Le Responsable du traitement est :
L’Association Envoludia
Association loi de 1901
261 rue de Paris
93100 Montreuil, France
SIRET n°77573329800332
(SIREN n° 775733298)
Représentée par M. Michel Marciset
En qualité de directeur
www.envoludia.org
communication@envoludia.org

2.2. Délégué à la protection des données personnelles
Le Délégué à la protection des données personnelles ou (« Data protection officer », DPO) est :
Maître Alexis Deroudille
Avocat au barreau de Paris
44 rue de la Clef
75005 Paris, France
Toque n°2449
SIRET n° 83964295600024
(SIREN n°839 642 956)
contact@deroudilleavocat.com
www.deroudilleavocat.com

Le Délégué à la protection des données personnelles a pour mission de contrôler, de manière indépendante et impartiale, le respect, par le Responsable du traitement, de ses obligations en matière de protection des données personnelles. Vous pouvez notamment le contacter dans le cadre de l’exercice de vos droits, ci-après énumérés.

2.3. Autorité de contrôle compétente
L’autorité de contrôle compétente en matière de protection des données personnelles est :
La Commission nationale de l’informatique et des libertés (CNIL)
3 place de Fontenoy
75007 PARIS,
Tél : +33153732222
Site Internet: www.cnil.fr

3.1. Qu’est-ce qu’une donnée personnelle ?
Les données personnelles désignent toute information se rapportant à une personne physique à partir de laquelle ladite personne peut être identifiée soit directement, soit indirectement.
Les données directement identifiantes sont, par exemple, vos nom et prénom. D’autres données ne sont pas directement identifiantes, mais sont néanmoins qualifiées de données personnelles, dans la mesure où elles peuvent apporter des informations sur vous, notamment, lorsqu’elles sont croisées avec des données identifiantes. C’est le cas, par exemple de votre adresse postale, de votre date de naissance, d’informations relatives à votre emploi du temps, etc. Parfois, la combinaison de ces informations non-identifiantes permet d’ailleurs de vous identifier.

3.2. Qu’est-ce qu’un traitement de données personnelles?
Par traitement de données personnelles l’on entend toute opération, automatisée ou non, qui est effectuée sur des données personnelles, précédemment définies, telle que la collecte, la structuration, la conservation, la modification, la consultation, l’utilisation, la transmission, l’effacement ou la destruction.
Ainsi, un traitement de données personnelles n’a pas nécessairement à être automatisé. Les fichiers papier constituent également des traitements, au même titre que les fichiers informatisés.
Dans le cas d’Envoludia, les traitements de données personnelles vous concernant, couverts par la présente Politique de confidentialité, sont tous automatisés.

4.1. Bases légales – licéité
En application du RGPD, tout traitement de données personnelles doit avoir une base légale, c’est-à-dire un fondement juridique qui l’autorise (principe de licéité). Les bases légales licites sont strictement énumérées par le RGPD, qui n’en autorise que six : consentement, nécessité au regard de l’exécution d’un contrat, au respect d’obligations légales, à la sauvegarde des intérêts vitaux de la personne concernée, à l’exécution d’une mission d’intérêt public, ou au regard d’intérêts légitimes poursuivis par le Responsable du traitement ou un tiers (c.f. article 6 du RGPD). Ainsi, par exemple, dans le domaine du e-commerce, la collecte de données d’identification d’un client peut être justifié au regard de l’exécution d’un contrat auquel il est parti.

4.2. Données sensibles
Les données personnelles sensibles sont davantage protégées, et doivent cumuler avec la base légale, un motif de licéité supplémentaire, qui est un peu comme une deuxième base légale. Ces motifs sont, là encore, strictement énumérés par le RGPD : consentement, nécessité au regard des diagnostics médicaux, de la prise en charge sanitaire et sociale etc. Ainsi, par exemple le traitement des données de santé du patient d’un médecin exerçant en libéral, dont la base légale peut être l’exécution du contrat l’unissant à ce professionnel de santé, est justifié car il est nécessaire à l’établissement des diagnostics médicaux.

4.3. Limitation des finalités – minimisation
Les données personnelles ne peuvent être collectées et traitées qu’en vue de finalités déterminées, préalablement établies (limitation des finalités). De plus, ne peuvent être collectées et traitées que les données qui sont strictement nécessaires aux finalités pour lesquelles elles sont collectées (minimisation). Il va de soi, par exemple qu’une plateforme offrant un service d’abonnement à un contenu multimédia en ligne n’a pas besoin de connaître vos données de santé ou vos opinions politiques.

4.4. Limitation des durées de conservation
Une fois collectées les données personnelles ne peuvent être conservées que pendant une durée, là encore proportionnée à leur usage et leur finalité, et strictement limitée (limitation des durées de conservation). Ainsi, par exemple, il n’est pas permis de conserver plus de deux ans des informations sur un simple prospect commercial. A l’inverse, les établissements hospitaliers ont l’obligation de conserver le dossier médical de leur patient pendant une durée de 20 ans.

4.5. Exactitude
Les données doivent encore être exactes, et ne pas donner d’information erronée sur vous (exactitude). En cas d’erreur, et d’inexactitude, vous avez le droit d’en obtenir la rectification.

4.6. Responsabilité
Enfin, chaque personne, morale ou physique qui met en œuvre un traitement de données personnelles, dénommé Responsable du traitement, assume la responsabilité de celui-ci, notamment en cas de violation des règles précédemment définies, ou de violation de la sécurité des données (responsabilité). Le Responsable du traitement a notamment pour obligation de garantir la sécurité et l’intégrité des données. Cela implique qu’il doit mettre en place des mesures de sécurité techniques et organisationnelles : chiffrement, sauvegardes, antivirus, protection des locaux, traçabilité des connexions, instruction du personnel, etc.

5.1. Traitement informatisé

Quelle que soit la catégorie de personne concernée dont vous relevez, nous collectons vos données personnelles via le site internet www.envoludia.org. Nous traitons ensuite les données sur les différentes solutions informatiques d’Envoludia.
Il est également possible que nous obtenions certaines données personnelles vous concernant, par voie postale (si vous êtes donateur ou adhérent par exemple).

5.2. Catégories de données personnelles que nous collectons directement auprès
de vous

Si vous faites partie des catégories de personnes concernées mentionnées plus haut, couvertes par la présente Politique de confidentialité, nous pouvons collecter, directement auprès de vous, les catégories de données personnelles suivantes vous concernant :
• Vos données d’identification : civilité, nom, prénom, adresse, code postal, ville, adresse email, date de naissance ;
• Votre qualité : membre actif, membre associé, donateur, etc. ;
• Le cas échéant, les nom et prénom de votre enfant, usager d’un établissement d’Envoludia, et le nom de son établissement de rattachement ;
• Vos données bancaires pour effectuer le don ou procéder à l’adhésion, qui ne sont traitées que le temps de la transaction.
• Le cas échéant, toute information, relevant de la qualification de donnée personnelle que vous nous aurez confiée dans le cadre de vos activités d’adhérent ou d’administrateur (ex : convocations aux assemblées générale, feuilles d’émargement, pouvoirs, procès-verbaux d’assemblée, bilans d’activités, rapports du commissaire aux comptes).

5.3. Données que nous collectons automatiquement

En tant qu’administrateur du site internet www.envoludia.org, nous pouvons accéder à certaines informations qui ont été collectées automatiquement lors de votre connexion à ce site (logs de connexion) : adresse IP du terminal, heure de consultation de la page, identité du navigateur etc.

6.1. En vue de quelles finalités collectons-nous vos données personnelles ?

Quelle que soit la catégorie de personne concernée dont vous relevez, les finalités en vue desquelles Envoludia collecte et traite vos données personnelles sont les suivantes :
• Animer le réseau d’Envoludia : lettre d’information, diffusion d’informations ;
• Assurer la gestion des dons réalisés au profit de l’association Envoludia ;
• Assurer la gestion des adhésions à l’association Envoludia ;
• Assurer la gestion administrative et la gouvernance de l’association (fichiers relatifs aux donateurs, adhérents, administrateurs, convocations aux assemblées générale, feuilles d’émargement, pouvoirs, procès-verbaux d’assemblée, bilans d’activités, etc. ) ;
• Assurer la bonne administration du site internet www.envoludia.org ;
• Satisfaire les obligations légales d’Envoludia, notamment en matière fiscale.

6.2. Sur le fondement de quelles bases légales opérons-nous le traitement de vos
données personnelles ?

En application du RGPD, tout traitement de données personnelles doit avoir une base légale, c’est-à-dire un fondement juridique qui l’autorise. En fonction de leur finalité, les traitements que nous opérons peuvent être fondés sur les bases légales suivantes :

• le traitement est nécessaire à l’exécution du contrat qui lie l’adhérent à Envoludia ;
• le traitement répond à l’intérêt légitime d’Envoludia ;
• le traitement répond à l’intérêt légitime de l’usager d’Envoludia.
• le traitement répond à une obligation légale d’Envoludia.

6.3. Combien de temps conservons-nous vos données ?

Si vous êtes un visiteur du site internet, nous conservons les données relatives à votre interaction avec le site (adresse IP du terminal, heure de consultation de la page, identité du navigateur etc.) pendant une durée de 6 mois.
Si vous êtes donateur ou adhérent, nous conservons vos données d’identification dans le cadre de nos fichiers destinés à l’animation du réseau Envoludia (newsletter, courriers d’information etc.) pendant une durée de 3 ans, suite à la dernière interraction (don, adhésion).
Nous conservons les données relatives à vos dons, ou à vos adhésions pendant une durée que peut être supérieure à 2 ans afin de satisfaire aux obligations en matière de contrôle fiscal.
Vos données bancaires ne sont traitées que le temps de la transaction.

Si vous êtes adhérent ou administrateur, nous conservons les données relatives à votre participation à l’association (convocations aux assemblées générale, feuilles d’émargement, pouvoirs), pendant une durée de 3 ans, suite à l’émission de ceux-ci. Les procès-verbaux des assemblées sont, quant à eux, conservés de manière illimitée, conformément aux obligations légales en cette matière.

6.4 Tableau synthétique

Confidentialité – Tableau des correspondances entre catégories de données collectées, finalités, bases légales et durées de conservation

7.1. Personnel– Prestataires externes habilités
L’accès à vos données personnelles est strictement réservé au personnel de l’administration centrale d’Envoludia, opérant depuis le siège de l’association, et lié par un engagement de confidentialité.

7.2. Autres personnes concernées par la présente Politique de confidentialité
En plus des membres du personnel d’Envoludia, d’autres personnes concernées par la présente Politique de confidentialité peuvent encore avoir accès à vos données personnelles.

Tel est le cas, par exemple, des visiteurs du site internet, si votre nom y figure, ou bien de certains des adhérents, si vous êtes un administrateur.

Si vous désirez obtenir davantage d’informations à ce sujet, nous vous invitons à contacter notre Délégué à la protection des données personnelles, à l’adresse ci-avant indiquée.

7.3. Sous-traitants
Envoludia confie le traitement de vos données personnelles à ses prestataires qui assurent le développement et la maintenance de ses outils informatiques, ainsi que l’hébergement des données. Tel est le cas, en particulier, des prestataires opérant les plateformes informatiques que nous utilisons.
Les sous-traitants d’Envoludia ne traitent les données personnelles qui leur sont confiées que dans le strict cadre de l’exécution de leurs missions, et conformément aux instructions documentées qu’ils ont reçues d’Envoludia.
Si vous désirez obtenir la liste des sous-traitants d’Envoludia, impliqués dans le traitement de vos données personnelles, nous vous invitons à contacter notre Délégué à la protection des données personnelles, à l’adresse ci-avant indiquée.

7.4. Administrations publiques compétentes

Envoludia peut, être contraint, en vertu de certaines obligations légales, ou afin de satisfaire les intérêts de ses usagers, de communiquer certaines données personnelles vous concernant à des administrations publiques.
Si vous désirez plus d’information à ce sujet, nous vous invitons à contacter notre Délégué à la protection des données personnelles, à l’adresse ci-avant indiquée.

7.5. Autres cas de divulgation
Hors des cas précédemment énumérés, les données personnelles vous concernant ne pourront être divulguées qu’en application d’une législation de l’Union européenne ou d’un Etat membre, en vertu d’une décision d’une autorité réglementaire ou judiciaire compétente, ou d’une autorité de contrôle de l’Union européenne ou d’un Etat membre, ou pour la nécessité de la défense des droits en justice

Les sous-traitants impliqués dans les traitements de données personnelles dont il est ici question sont tous situés dans l’Union européenne.
Des transferts de données hors de l’Union européenne peuvent toutefois survenir, via le jeu des sous-traitants de nos sous-traitants. Dans un tel cas, veillons à ce que de tels transferts de données personnelles hors de l’Union européenne satisfassent les exigences d’équivalence requises du point de vue de la protection des données personnelles, via le mécanismes appropriés (accords d’adéquation, règlements d’entreprise contraignants, clauses contractuelles types).
Si vous désirez obtenir plus d’informations sur nos sous-traitants, notamment, si vous désirez obtenir la liste précise de ceux-ci, nous vous invitons à contacter notre Délégué à la protection des données personnelles, à l’adresse ci-avant indiquée.

Conformément aux dispositions des articles 15 à 22 du Règlement n°2016/679/UE du Parlement européen et du Conseil du 27 avril 2016, portant Règlement général relatif à la protection des données personnelles (RGPD), vous disposez d’un certain nombre de droits concernant les données personnelles que nous détenons à votre sujet.
Afin d’exercer ces droits, nous vous invitons à contacter le Responsable du traitement ou son Délégué à la protection des données personnelles aux adresses sus-exposées.
9.1. Droit d’accès et de communication des données
Vous avez le droit d’accéder aux données personnelles vous concernant faisant l’objet d’un traitement.
Pour vous aider dans votre démarche, la Commission nationale de l’informatique et des libertés (CNIL) met à votre disposition un modèle de courrier.

9.2. Droit d’opposition
Lorsque le traitement de vos données personnelles par nos services est fondé sur notre intérêt légitime, ou celui d’un tiers (voir tableau supra), vous avez le droit de vous opposer à un tel traitement, pour vos propres motifs d’intérêt légitime, tenant à votre situation particulière, à moins que nous y opposions des motifs légitimes et impérieux.

9.3. Droit de retirer votre consentement
Lorsque le traitement se fonde sur votre consentement (voir tableau supra), vous disposez du droit de retirer celui-ci à tout moment.

9.4. Droit de suppression ou droit à l’oubli
Vous avez le droit de nous demander la suppression des informations personnelles vous concernant. Tel est le cas par exemple, si vous avez exercé votre droit d’opposition, en vous fondant sur un motif légitime propre à votre situation particulière, ou si vous avez retiré votre consentement.
Pour vous aider dans votre démarche, la Commission nationale de l’informatique et des libertés (CNIL) met à votre disposition un modèle de courrier.

9.5. Droit de rectification

Si vous estimez que les données que nous détenons sont inexactes, incomplètes ou périmées, vous avez le droit d’en obtenir la rectification et/ou la mise à jour.
Pour vous aider dans votre démarche, la Commission nationale de l’informatique et des libertés (CNIL) met à votre disposition un modèle de courrier.

9.6. Droit de limiter le traitement
La limitation du traitement des données est une mesure alternative à leur effacement pur et simple. Lorsque le traitement de vos données personnelles fait l’objet d’une limitation, nous ne pouvons plus les exploiter sans votre consentement exprès, à l’exception de leur conservation. Toutefois l’exercice ou la défense de droits en justice, la nécessité de la protection des droits d’une autre personne physique ou morale, ou encore pour des motifs importants d’intérêt public de l’Union ou d’un État membre nous permettent de passer outre cette obligation.
Vous êtes en droit d’obtenir la limitation du traitement des données personnelles vous concernant dans les situations suivantes :
• Vous contestez l’exactitude de vos données personnelles pendant la durée nous permettant de vérifier l’exactitude de ces dernières; et/ou
• En cas de traitement illicite de notre part et que vous exigez une limitation de leur utilisation plutôt qu’un effacement; et/ou
• Nous n’avons plus besoin des données à caractère personnel aux fins du traitement mais celles-ci vous sont encore nécessaires pour la constatation, l’exercice ou la défense de droits en justice; et/ou
• En cas d’exercice de votre droit d’opposition pendant la durée de vérification portant sur le point de savoir si les motifs légitimes que nous poursuivons prévalent les votre.

9.7. Droit à la portabilité des données
Vous avez le droit d’obtenir les données personnelles que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine, afin de pouvoir les réutiliser à vos propres fins en les transmettant vous-mêmes à un autre Responsable du traitement.

9.8. Autres réclamations
Pour toute autre réclamation, notamment, si vous estimez que l’un de vos droits ou l’un des principes s’appliquant aux traitement de vos données personnelles a été méconnu par l’un des établissements d’Envoludia (minimisation, licéité des traitements, limitation des finalités ect.), ou si vous désirez obtenir une informations plus complète sur les catégories de données personnelles que collecte et traite Envoludia à votre endroit, nous vous invitons à contacter notre Délégué à la protection des données personnelles, à l’adresse ci-avant indiquée.

9.9. Droit d’introduire une réclamation devant l’autorité de contrôle compétente
Vous avez le droit d’introduire une réclamation concernant la manière dont nous manipulons ou traitons vos données auprès de l’autorité nationale de contrôle compétente.

9.10. Délais de traitement des droits et notification
Nous nous engageons à répondre à vos demandes dans un délai raisonnable qui ne saurait dépasser 1 mois à compter de la réception de votre demande, et à vous notifier toute opération effectuée par nos services conformément à vos demandes.