DiagTertiaire Retour
Confidentialité

Politique de confidentialité

Dernière mise à jour : XX/XX/20XX

Objet de la politique

La présente politique de confidentialité explique comment DiagTertiaire collecte, utilise, conserve, sécurise et, le cas échéant, transmet des données personnelles dans le cadre du site public DiagTertiaire, du service de pré-diagnostic énergétique, des demandes de contact et de mise en relation, de l’espace professionnel DiagTertiaire Pro et, le cas échéant, des futures déclinaisons professionnelles ou marque blanche du service.

Cette politique a pour objet d’informer les personnes concernées de manière claire sur les traitements réalisés.

Responsable du traitement

Le responsable du traitement est :

Dénomination sociale : XX
Forme juridique : XX
Siège social : XX
RCS / SIREN : XX

Adresse e-mail de contact : contact@diag-tertiaire.fr
Téléphone : XX

Lorsque la présente politique mentionne « DiagTertiaire », « nous », « notre » ou « nos », elle désigne l’entité ci-dessus.

Champ d’application

La présente politique s’applique aux visiteurs du site, aux utilisateurs du pré-diagnostic public, aux personnes qui remplissent un formulaire de contact ou demandent une mise en relation, aux utilisateurs de l’espace professionnel et, plus largement, aux personnes dont certaines données peuvent être renseignées dans l’espace professionnel, lorsque ces données constituent des données à caractère personnel.

Données susceptibles d’être collectées

Données fournies dans le cadre du pré-diagnostic public

  • adresse e-mail ;
  • numéro de téléphone, lorsqu’il est renseigné ;
  • nom du site ou du bâtiment ;
  • adresse ou localisation du site ;
  • code postal ;
  • activité du site ;
  • surface ;
  • année ou période de construction ;
  • type d’énergie utilisée ;
  • données de consommation et de dépenses énergétiques ;
  • informations sur les travaux déjà réalisés ;
  • objectif principal, horizon de projet, rôle dans la décision ;
  • consentements exprimés par l’utilisateur ;
  • contenu du rapport généré à partir des données saisies.

Données fournies dans le cadre d’une demande de contact ou d’intérêt Pro

  • prénom et nom ;
  • adresse e-mail professionnelle ;
  • société ;
  • message libre ;
  • informations liées à la demande.

Données liées à l’espace professionnel

  • prénom et nom ;
  • adresse e-mail professionnelle ;
  • société ou organisation ;
  • rôle ou métier ;
  • identifiants techniques de compte ;
  • informations liées à l’authentification ;
  • paramètres du workspace ;
  • identité visuelle chargée par l’utilisateur, notamment logo et éléments de branding ;
  • dossiers, rapports, notes, documents, fichiers et métadonnées associés ;
  • données relatives à l’usage du service, à la sécurité, à la maintenance et à l’administration technique.

Données de navigation et données techniques

  • adresse IP ;
  • journaux techniques ;
  • événements de sécurité ;
  • informations liées au navigateur et au terminal ;
  • données de session ;
  • données stockées localement sur le navigateur lorsque cela est nécessaire au fonctionnement du service, à la continuité d’usage, à la sécurité ou à la restauration locale d’un rapport.

Finalités et bases légales des traitements

Fourniture du pré-diagnostic et du rapport

Finalités : permettre à l’utilisateur de renseigner les informations nécessaires ; produire une estimation énergétique indicative ; générer, afficher, télécharger ou transmettre le rapport correspondant ; conserver temporairement les données nécessaires à la continuité du service et au support.

Base légale : exécution de mesures précontractuelles ou d’un service demandé par l’utilisateur.

Gestion des demandes de contact et d’intérêt commercial

Finalités : répondre à une demande entrante ; recontacter un utilisateur au sujet de sa demande ; organiser un échange commercial ou une démonstration du service ; suivre les demandes reçues et leur traitement.

Base légale : exécution de mesures précontractuelles prises à la demande de la personne concernée ; et, selon les cas, intérêt légitime de DiagTertiaire à gérer les demandes adressées au service.

Mise en relation avec des partenaires

Finalités : transmettre les coordonnées de l’utilisateur et les éléments utiles à son projet à un ou plusieurs partenaires qualifiés ; permettre à ces partenaires de recontacter l’utilisateur ; tracer la preuve du consentement donné à cette transmission.

Base légale : consentement de la personne concernée.

Aucune transmission à un partenaire au titre de cette finalité n’est effectuée sans action positive explicite de l’utilisateur lorsque le service prévoit une case ou un mécanisme de consentement dédié.

Création, gestion et sécurisation de l’espace professionnel

Finalités : créer et administrer un compte utilisateur ; authentifier l’utilisateur ; fournir le workspace Pro ; enregistrer les paramètres de l’organisation ; stocker les dossiers, rapports, fichiers et éléments de branding ; permettre la génération et l’archivage de rapports ; administrer, sécuriser, maintenir et améliorer le service.

Base légale : exécution du service ou de mesures précontractuelles ; intérêt légitime de DiagTertiaire à assurer la sécurité, la maintenance, la prévention des abus et la continuité du service ; respect des obligations légales applicables, lorsqu’elles existent.

Sécurité, prévention de la fraude et gestion des preuves

Finalités : détecter les usages abusifs, frauduleux ou automatisés ; protéger l’intégrité du site, des comptes et des données ; conserver des preuves techniques en cas d’incident, litige, suppression, restauration ou exercice de droits ; gérer la traçabilité minimale nécessaire à l’administration du service.

Base légale : intérêt légitime de DiagTertiaire à sécuriser ses services, prévenir les abus et défendre ses droits.

Respect des obligations légales

Finalités : répondre aux demandes d’exercice des droits ; respecter les obligations comptables, fiscales, judiciaires, réglementaires ou de sécurité ; coopérer avec les autorités habilitées lorsque la loi l’impose.

Base légale : obligation légale.

Caractère obligatoire ou facultatif des données

Les champs strictement nécessaires à la fourniture d’un service ou d’une fonctionnalité peuvent être signalés comme obligatoires.

En particulier : une adresse e-mail peut être nécessaire pour accéder à un rapport ou créer un compte ; certaines informations techniques sur le site ou le bâtiment sont nécessaires pour générer un pré-diagnostic pertinent ; certaines données sont nécessaires pour créer et exploiter un espace professionnel.

Si les données marquées comme obligatoires ne sont pas fournies, certaines fonctionnalités peuvent ne pas être accessibles ou ne pas fonctionner correctement.

Les données facultatives demeurent facultatives, mais leur absence peut limiter la précision, la fluidité ou la personnalisation du service.

Destinataires des données

Les données personnelles sont accessibles, dans la limite de leurs attributions respectives, aux seules personnes habilitées.

Peuvent notamment être destinataires des données : les membres autorisés de l’équipe DiagTertiaire ; les prestataires techniques intervenant pour l’hébergement, l’authentification, la base de données, le stockage, la maintenance, l’envoi d’e-mails transactionnels et la sécurité ; les partenaires professionnels, uniquement lorsque l’utilisateur a expressément demandé ou accepté une mise en relation ; les autorités administratives, judiciaires ou organismes habilités, lorsque la loi l’impose.

Cas particulier de la mise en relation partenaire

Lorsqu’un utilisateur demande à être mis en relation avec un partenaire, DiagTertiaire peut transmettre aux partenaires concernés les informations strictement utiles au traitement de cette demande, notamment : identité ou coordonnées de contact ; informations sur le site ou le bâtiment ; contexte du besoin ; éléments utiles au premier niveau de qualification du projet.

Cette transmission ne vaut ni recommandation personnalisée, ni garantie de disponibilité, ni garantie de résultat, ni validation de l’offre ou de la qualité du partenaire.

Les partenaires destinataires deviennent ensuite responsables des traitements qu’ils réalisent pour leur propre compte à partir des données qui leur ont été transmises.

Cas particulier de l’espace Pro et des données de tiers

L’espace Pro peut permettre à un utilisateur professionnel de renseigner, organiser, stocker, traiter ou partager certaines données relatives à ses propres prospects, clients, contacts, sites, dossiers ou projets.

Dans un tel cas :

  • l’utilisateur Pro demeure responsable de la licéité des données qu’il renseigne dans le service et, le cas échéant, de l’information des personnes concernées ;
  • DiagTertiaire agit, selon les cas d’usage et la documentation contractuelle applicable, soit comme responsable de traitement pour l’administration et la sécurité du service, soit comme prestataire technique traitant certaines données pour le compte de l’utilisateur Pro ;
  • lorsque DiagTertiaire intervient en qualité de sous-traitant pour un client Pro, un cadre contractuel spécifique pourra préciser les instructions, les finalités, les catégories de données, les sous-traitants ultérieurs et les mesures de sécurité applicables.

En l’absence d’instruction contraire ou de cadre spécifique plus précis, DiagTertiaire limite ses opérations sur ces données à ce qui est nécessaire au fonctionnement, à l’hébergement, à la sécurité, à la maintenance, à la sauvegarde, à la restauration et au support technique du service.

Transferts de données hors Union européenne

Certains prestataires techniques ou sous-traitants peuvent être situés hors de l’Union européenne ou de l’Espace économique européen, notamment aux États-Unis.

Lorsque de tels transferts existent, DiagTertiaire s’efforce de les encadrer au moyen des mécanismes juridiques appropriés prévus par la réglementation applicable, notamment : décision d’adéquation ; clauses contractuelles types ; ou tout autre mécanisme valable au jour du transfert.

Lorsque le prestataire concerné relève d’un mécanisme de transfert reconnu applicable, ce mécanisme peut être utilisé pour encadrer le transfert.

Durées de conservation

Site public et pré-diagnostic

Les données issues du pré-diagnostic, des demandes de contact et des demandes entrantes de prospection sont conservées pendant une durée maximale de 18 mois à compter du dernier échange utile, sauf obligation légale particulière, nécessité de conservation probatoire, ou poursuite d’une relation contractuelle ou précontractuelle.

Consentement de mise en relation partenaire

La preuve du consentement et les éléments liés à la demande de mise en relation peuvent être conservés pendant la durée nécessaire à la gestion de la demande, à la traçabilité du consentement et à la défense des droits de DiagTertiaire, dans la limite des durées légalement applicables.

Compte et espace Pro

Les données liées au compte Pro et au workspace sont conservées pendant la durée d’existence du compte, puis pendant une durée de XX après fermeture ou suppression du compte pour permettre la gestion des demandes résiduelles, sauvegardes, incidents, litiges et obligations légales ; ou, lorsque la loi l’impose, pendant la durée requise par cette loi.

Les contenus supprimés peuvent subsister temporairement dans des sauvegardes techniques ou dans des environnements d’archivage transitoire avant effacement définitif ou anonymisation.

Journaux de sécurité et événements techniques

Les journaux techniques et de sécurité sont conservés pendant une durée maximale de XX, sauf nécessité particulière liée à un incident, à une enquête, à la prévention de la fraude ou à une obligation légale.

Sécurité des données

DiagTertiaire met en œuvre des mesures techniques et organisationnelles raisonnables destinées à protéger les données personnelles contre la destruction, la perte, l’altération, la divulgation non autorisée, l’accès non autorisé ou tout autre traitement non autorisé.

Ces mesures peuvent inclure, selon les cas : cloisonnement des accès ; authentification ; journalisation ; restrictions d’accès par organisation ; stockage privé ; limitation des accès internes ; mécanismes de suppression sécurisée ; sauvegardes et mesures de restauration ; et dispositifs de prévention des abus.

Aucune mesure de sécurité n’offrant une garantie absolue, l’utilisateur est invité à faire preuve de prudence dans les informations qu’il transmet, partage ou conserve via le service.

Données stockées localement sur le navigateur

Pour certaines fonctionnalités, DiagTertiaire peut utiliser des mécanismes techniques locaux du navigateur, notamment du stockage local ou de session, afin de maintenir une session ou un état de formulaire, faciliter la reprise d’un parcours interrompu, restaurer localement un rapport, limiter les abus ou comportements automatisés, et améliorer la continuité d’usage du service.

Ces données peuvent être effacées par l’utilisateur depuis son navigateur ou, lorsque le service le permet, via une action dédiée dans l’interface.

Partage par lien et données publiées à l’initiative de l’utilisateur

Certaines fonctionnalités de partage peuvent générer un lien permettant de consulter un rapport ou un contenu sans authentification forte, lorsque ce lien est détenu.

L’utilisateur reconnaît qu’un tel lien doit être traité comme un lien de partage et non comme un coffre-fort confidentiel.

DiagTertiaire recommande de ne pas intégrer de données personnelles inutiles, excessives ou sensibles dans un contenu destiné à être partagé.

Données sensibles et mineurs

Le service n’a pas vocation à collecter des données sensibles au sens de la réglementation, ni des données sans lien direct avec les finalités décrites dans la présente politique.

Les utilisateurs s’engagent à ne pas transmettre, sauf nécessité juridique clairement identifiée et base légale appropriée, de données sensibles, de secrets non nécessaires, ou de données excessives au regard des finalités poursuivies.

Le service n’est pas destiné aux mineurs agissant seuls dans un cadre de consommation grand public.

Droits des personnes concernées

Sous réserve des conditions prévues par la réglementation applicable, toute personne concernée dispose notamment des droits suivants : droit d’accès ; droit de rectification ; droit à l’effacement ; droit à la limitation du traitement ; droit d’opposition ; droit à la portabilité lorsque ce droit est applicable ; droit de retirer son consentement à tout moment lorsque le traitement repose sur le consentement, sans remettre en cause la licéité du traitement antérieur à ce retrait ; droit de définir des directives relatives au sort de ses données après son décès, dans les conditions prévues par le droit français.

Exercice des droits

Les demandes relatives aux données personnelles peuvent être adressées à :

contact@diag-tertiaire.fr

Afin de protéger les personnes concernées, DiagTertiaire peut demander des éléments raisonnables permettant de vérifier l’identité du demandeur avant de donner suite à une demande.

En cas de difficulté non résolue, la personne concernée peut introduire une réclamation auprès de la CNIL.

Absence de décision automatisée produisant des effets juridiques

Les résultats, scores, estimations, priorisations et rapports générés par DiagTertiaire ont une finalité indicative d’aide à la décision.

Ils ne constituent pas, en eux-mêmes, une décision automatisée produisant des effets juridiques sur la personne concernée au sens où ils ne remplacent ni une décision humaine, ni une instruction réglementaire, ni un audit opposable.

Modification de la politique

DiagTertiaire peut modifier la présente politique de confidentialité à tout moment pour tenir compte d’une évolution légale ou réglementaire, d’une évolution du service, d’un changement de prestataire, ou d’une évolution des traitements réalisés.

La version applicable est celle publiée sur le site à sa date de mise à jour.