Politique de confidentialité et de protection des données personnelles

 Soucieuse du respect de la vie privée et de la protection des informations que vous lui fournissez, la société BFC LYON respecte la législation en vigueur en matière de protection de la vie privée et des données personnelles. La collecte et le traitement de vos données personnelles se font dans le respect de la loi dite «Informatiques et Libertés» du 6 janvier 1978 modifiée.

Nous avons créé cette Charte afin que vous puissiez communiquer vos informations personnelles en toute confiance et en toute confidentialité lorsque vous utilisez notre plateforme, et comprendre le périmètre et les modalités sous lesquelles vos données sont traitées et protégées.

Nous nous réservons la possibilité de modifier cette charte en fonction de l’évolution de nos services et de la législation en vigueur. Toute modification de cette Charte sera mise à jour sur nos Sites. La dernière mise à jour date du 03 janvier 2022.

Les données sont collectées et traitées par BFC LYON sur ses sites internet attachés au domaine bfc.com.

PRÉAMBULE

BFC LYON est l’éditeur de contenus et services disponibles sur Internet, ci-après les « Services ».

Dans ce cadre, BFC LYON collecte et traite, en tant que responsable de traitement, des données à caractère personnel relatives aux utilisateurs des Services et aux internautes qui naviguent sur les sites internet de BFC LYON. Ces données peuvent par la suite être mises à la disposition de sociétés partenaires de BFC LYON (ci-après les « Partenaires »). Les Partenaires peuvent également accéder à certaines données à caractère personnel par l’intermédiaire des sites internet et des flux provenant de BFC LYON.

La présente charte (ci-après la « Charte ») a pour objet de rappeler les engagements pris par BFC LYON relatifs à la protection des données personnelles et à ses propres obligations légales ou réglementaires, notamment en sa qualité de responsable de traitement de données personnelles, et de clarifier la nature des échanges de données à caractère personnel entre BFC LYON et les Partenaires.

La Charte définit de manière non limitative les engagements que BFC LYON et ses Partenaires souscrivent dans le cadre de la collecte, du traitement, de la mise à disposition et du partage des données à caractère personnel collectées dans le cadre de la souscription et de la mise en œuvre des Services ainsi que de la navigation sur les sites de BFC LYON. Ces engagements peuvent être complétés et précisés dans le cadre des accords particuliers qui interviendront pour chaque partenariat spécifique.

Les Partenaires de BFC LYON s’engagent à respecter les présentes dispositions pour autant que les missions qu’ils exécutent dans le cadre de leur relation commerciale avec BFC LYON y soient directement soumises.

ARTICLE 1 : CONFORMITÉ A LA LOI INFORMATIQUE ET LIBERTÉS

BFC LYON s’engage à respecter les dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée (la « loi Informatique & Libertés ») à l’occasion de toute collecte, traitement, mise à disposition et partage de données à caractère personnel sous quelque forme et par quelque moyen que ce soit.

ARTICLE 2 : PRINCIPES RELATIFS A LA COLLECTE ET AU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

BFC LYON s’engage à ce que toute collecte de données à caractère personnel et tout traitement de ces données soient effectués de manière loyale, transparente, licite et documentée.

BFC LYON s’assure notamment pour chaque traitement que les données à caractère personnel ont été collectées pour une finalité déterminée, explicite et légitime, que les personnes concernées ont été informées conformément aux dispositions de la Loi Informatique et Libertés, et que leur consentement a été recherché et obtenu pour chaque finalité donnée dès lors que celui-ci est requis par la loi. Ce consentement devra être libre, spécifique et informé.

En particulier, dans le cas où des coordonnées de personnes physiques sont collectées, elles ne pourront être utilisées ou cédées à des fins de prospection directe au moyen d’un automate d’appel, d’un télécopieur ou de modes de communication électroniques (courrier électronique, SMS ou MMS) sans le consentement préalable de ces personnes. Par exception, dans le cas où ces coordonnées ont été collectées dans le cadre de la d’une prestation de service, notamment une demande de rendez-vous, la demande d’un devis, et qu’elles sont utilisées pour l’envoi de prospections destinées à promouvoir des produits ou services analogues, les coordonnées électroniques pourront être utilisées sans le consentement préalable des personnes concernées. Les personnes concernées devront néanmoins être informées de la possibilité qu’elles ont de s’opposer gratuitement à l’envoi de toute prospection directe.

En outre, BFC LYON s’assure que les données à caractère personnel collectées sont pertinentes et proportionnées à la finalité poursuivie par le traitement.

ARTICLE 3 : INFORMATION DES PERSONNES CONCERNÉES

Les personnes dont les données personnelles sont collectées et traitées sont informées via une bulle d’info ou un lien hypertexte redirigeant vers la présente Charte ou vers les Conditions d’Utilisation du Site ou Service, au moment de la collecte ou, en cas d’impossibilité technique (cas de collecte indirecte par exemple), de la première utilisation de leurs données à caractère personnel :

De la finalité poursuivie par le traitement auquel les données sont destinées ;

Du caractère obligatoire ou facultatif des réponses demandées et des conséquences éventuelles à leur égard d’un défaut de réponse ;

Des types de destinataires ou catégories de destinataires des données ;

De ce qu’elles disposent de droits d’accès, de rectification, de suppression et d’opposition au regard du traitement de données à caractère personnel et de la manière dont elles peuvent exercer ces droits par l’intermédiaire d’un interlocuteur dédié: Brice Gaillard, directeur général de la société (y.ridaoui@bfc-lyon.com)

Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne.

En tout état de cause, tout message électronique de prospection directe devra nécessairement comporter l’identité de l’émetteur et traduire clairement la nature commerciale du message dès sa réception ou, en cas d’impossibilité technique, dans le corps du message.

Par exception, dans le cadre de la collecte de données à caractère personnel et / ou de données de navigation par BFC LYON et / ou ses Partenaires grâce aux outils de collecte automatique de données (cookies, tag, balises, etc.) installés sur les Services en ligne, les personnes concernées seront informées de la collecte par le biais d’un lien hypertexte renvoyant vers la présente Charte ou vers les Conditions d’Utilisation du Site ou Service, ou bien vers la Politique de Cookies, qui leur indiquera également la manière dont elles peuvent s’opposer à cette collecte en procédant à la désinstallation des outils de collecte.

ARTICLE 4 : DURÉE DE CONSERVATION DES DONNÉES

BFC LYON s’engage à prévoir une durée de conservation limitée et proportionnée des données à caractère personnel collectées et traitées.

BFC LYON s’engage en cela à se conformer aux pratiques recommandées en matière de durée par la Norme simplifiée n° 48 adoptée par la CNIL par délibération n° 2012-209 du 21 juin 2012.

ARTICLE 5 : DROITS DES PERSONNES CONCERNÉES

BFC LYON, lorsqu’elle agit en tant que responsable de traitement, met en place des procédures permettent aux personnes concernées d’exercer les droits dont elles disposent en vertu des articles 38 et suivants de la loi Informatique & Libertés (droit d’accès, de rectification, de suppression et d’opposition).

En particulier, les personnes concernées sont en mesure de s’opposer de manière simple et dénuée d’ambiguïté, à l’utilisation ou à la cession des données collectées à des fins de prospection par voie postale ou téléphonique avec intervention humaine, de prospection par un mode de communication électronique pour un produit ou service analogue ainsi qu’à la cession aux Partenaires de données relatives à leur identité (à l’exclusion de données de traitement permettant leur identification pour ledit traitement) ainsi qu’à leur situation familiale, économique et financière dès lors que les Partenaires destinataires des données ne s’adressent pas aux intéressés pour les finalités pour lesquelles ces personnes ont communiqué leurs informations.

Les personnes concernées sont également en mesure de s’opposer, après la collecte des données, à ce que les données collectées soient utilisées à des fins de prospection commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur auquel les données auraient été communiquées.

BFC LYON s’engage à prendre en compte ou à faire prendre en compte par leurs utilisateurs dans un délai de un mois, ou à défaut avant la réutilisation des données, les demandes de radiation ou de non mise à disposition à des tiers qui leur auront été transmises.

En particulier, dans le cas de prospection réalisée par BFC LYON ou ses Partenaires par le biais de modes de communication électroniques (courrier électronique), les messages adressés aux personnes concernées devront tous contenir, pour les courriers électroniques, un lien permettant la désinscription de manière simple, rapide et facilement accessible. Cette faculté devra être prise en compte dans les plus brefs délais.

ARTICLE 6 : FORMALITÉS AUPRÈS DES AUTORITÉS DE CONTRÔLE

BFC LYON s’engage à compléter toutes dispositions en vue de la nomination d’un correspondant Informatique et Liberté. Toutes questions relatives au traitement des données personnelles peuvent être adressées à : contact@bfc-lyon.com

ARTICLE 7 : SÉCURITÉ ET CONFIDENTIALITÉ DES DONNÉES COLLECTÉES ET DES COMMUNICATIONS DE DONNÉES

BFC LYON s’engage à mettre en œuvre tous les moyens nécessaires en vue de garantir la sécurité, la confidentialité et l’intégrité des données à caractère personnel collectées et à prendre toutes les mesures techniques et organisationnelles appropriées aux fins de restreindre les risques de perte, de déformation, de détérioration ou de mauvaise utilisation de celles-ci, ainsi que les risques d’accès aux données par des tiers non autorisés.

Les accès aux traitements de données doivent notamment nécessiter une authentification des personnes accédant aux données, au moyen par exemple d’un code d’accès ou d’un mot de passe individuel, suffisamment robustes et régulièrement renouvelés, ou par tout autre moyen fiable d’authentification.

Les communications de données entre BFC LYON et ses Partenaires, ou entre les Partenaires et tous tiers auxquels seraient ultérieurement communiquées les données à caractère personnel collectées sont opérées par le biais de méthodes sécurisées.

Ces méthodes doivent permettre d’assurer la confidentialité, l’intégrité et l’authenticité des informations transmises.

Lors des transmissions de données par l’intermédiaire de canaux non sécurisés, certaines précautions devront ainsi être prises en vue de rendre ces données incompréhensibles à toute personne non autorisée.

ARTICLE 8 : SOUS-TRAITANCE

Dans les cas où BFC LYON ou ses Partenaires feraient appel à des sous-traitants appelés à traiter des données à caractère personnel pour leur compte, ils devront s’assurer que ces sous-traitants présentent des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 7 ci-dessus. Cette exigence ne les déchargera toutefois pas de leur obligation personnelle de veiller au respect de ces mesures.

Le contrat liant le sous-traitant au responsable du traitement devra comporter l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données, prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement, donner lieu à un engagement de confidentialité puis à un procès verbal de destruction des données à l’issue des opérations.

ARTICLE 9 : TRANSFERTS INTERNATIONAUX DE DONNÉES À CARACTÈRE PERSONNEL

Dans le cas où les données à caractère personnel collectées seraient communiquées à des Partenaires, à des destinataires ultérieurs ou des sous-traitants situés dans des pays en dehors de l’Union Européenne et n’offrant pas un niveau de protection adéquat, le transfert ne sera possible que si :

(1)Il a été précédé soit de :

La signature entre l’exportateur et l’importateur de données d’un contrat reprenant les Clauses Contractuelles Types définies par la Décision 2004/915/CE de la Commission européenne ou toute autre Décision qui viendrait à la remplacer dans le futur ;

L’adhésion de l’importateur de données américain aux principes du EU-US Privacy Shield; ou

La mise en place de règles d’entreprise contraignantes (Binding Corporate Rules ou BCR) liant l’exportateur et l’importateur de données lorsque ceux-ci font partie d’un même groupe de sociétés.

ET

(2)Il a fait l’objet des formalités préalables requises auprès de l’autorité de contrôle compétente. En France, une autorisation préalable de la CNIL (à l’exception des transferts ayant pour destinataires des responsables de traitement américains ayant adhéré aux principes du EU-US Privacy Shield pour lesquels une déclaration est suffisante).

Par ailleurs, dans le cas où le transfert n’aurait pas fait l’objet d’une information des personnes concernées dès la collecte des données, BFC LYON s’engage à en informer les personnes préalablement à tout transfert.

ARTICLE 10 : DONNÉES SENSIBLES

BFC LYON s’interdit de procéder à toute collecte ou traitement de données à caractère personnel faisant apparaître, directement ou indirectement :

  • Les origines raciales ou ethniques ;
  • Les opinions politiques, philosophiques ou religieuses ;
  • L’appartenance syndicale ;
  • L’état de santé (autres que les besoins en couverture santé) ;
  • L’orientation sexuelle ;
  • Les infractions, condamnations et mesures de sûreté,

Dans l’hypothèse où l’objet de la relation commerciale nécessiterait la collecte des éléments précités, les parties s’engagent irrévocablement à respecter les procédures de la loi Informatique et Liberté.

ARTICLE 11 : DONNÉES RELATIVES À DES MINEURS

BFC LYON s’engage à ne pas collecter de données personnelles sur des mineurs sans inviter ces derniers à demander l’autorisation de leurs parents ou représentants légaux. Pour cela, une mention spécifique apparaîtra sur les documents de collecte des sites dont les cibles sont des mineurs. Cette mention stipulera que le représentant légal consent à la collecte d’informations sur le mineur dont il a la charge.