Mention d'information RGPD
CHARTE D’INFORMATION RELATIVE À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL DES VOLONTAIRES
Dernière modification : 16 juillet 2018
1. Introduction
atTests collecte et traite des informations qui vous identifient directement ou indirectement (les « Données à Caractère Personnel »). La présente charte d’information relative à la protection des Données à Caractère Personnel (la « Charte ») est applicable à l’ensemble des volontaires inscrits au club des consommateurs via le formulaire disponible sur notre site Internet ou par envoi postal, aux membres du foyer des volontaires inscrits, aux amis des volontaires inscrits auxquels ces derniers décident de faire suivre une annonce d’atTests (les adresses ne sont pas enregistrées), ainsi qu’aux participants aux enquêtes de terrain (ensemble les « Volontaires »). Cette Charte décrit les Données à Caractère Personnel que nous collectons, les finalités pour lesquelles elles sont traitées et la base juridique de ce traitement, ainsi que toutes autres informations nécessaires afin d’assurer un traitement loyal et transparent des Données à Caractère Personnel lorsque nous agissons en qualité de responsable du traitement de vos Données à Caractère Personnel, c’est-à-dire lorsque nous déterminons pourquoi et comment vos Données à Caractère Personnel sont traitées.
Tout au long de cette Charte, nous utilisons le terme « traitement » afin de faire référence à l’ensemble des activités impliquant vos Données à Caractère Personnel, y compris la collecte, la gestion, la conservation, le partage, l’accès, l’utilisation, le transfert, l’effacement et la destruction des Données à Caractère Personnel.
Cette Charte est applicable aux Données à Caractère Personnel des Volontaires actuellement répertoriés au sein de la base de données d’atTests. Elle a également vocation à s’appliquer aux nouveaux Volontaires dès que ces derniers nous transmettent des Données à Caractère Personnel.
Cette Charte vous est fournie conformément aux lois de protection des données. Elle ne saurait constituer ou faire partie d’un contrat. Cette Charte ne vous confère aucun droit de nature contractuel ni ne nous impose une quelconque obligation contractuelle.
2. Résumé des Informations Clés concernant le Traitement de vos Données à Caractère Personnel
Nous utilisons les Données à Caractère Personnel que vous nous fournissez dans le cadre de nos processus de recrutement et de sélection des Volontaires, conformément à la présente Charte, ainsi que les Données à Caractère Personnel additionnelles que nous collectons éventuellement dans le cadre des différentes études, tests et réunions de consommateurs conduites pour nos clients.
Les Données à Caractère Personnel que nous collectons sont en premier lieu utilisées pour la bonne gestion de nos volontaires, c’est-à-dire la gestion des personnes désirant participer à des études, enquêtes de terrain, réunions de consommateurs ou tests de produits. Ces missions, conduites pour nos clients, peuvent comprendre le traitement de données sensibles en lien avec l’objet de l’étude, de l’enquête ou de la réunion (par exemple, des données relatives à l’origine raciale ou ethnique des Volontaires dans le cas de tests de produits capillaires ou cosmétiques). Le traitement de telles données sensibles n’est réalisé qu’après consentement explicite des Volontaires pour une ou plusieurs finalités de traitement spécifiques. Les Données à Caractère Personnel sont conservées et traitées au sein de systèmes informatiques exclusivement situés dans l’Union Européenne/Espace Economique Européen.
Vous disposez de certains droits concernant vos Données à Caractère Personnel, décrits à la Section 11 de cette Charte. Si vous souhaitez obtenir des informations supplémentaires ou poser toutes questions quant à ces droits ou concernant le traitement de vos Données à Caractère Personnel par atTests, nous vous remercions de vous reporter aux Sections 12 et 13 de la présente Charte.
3. Quelles données collectons-nous ?
Les types de Données à Caractère Personnel que nous collectons varient selon les missions qui nous sont confiées par nos clients, puisque certaines informations pertinentes pour une étude, une enquête, une réunion de consommateurs ou un test de produit ne seront potentiellement pas nécessaires pour une mission différente. Typiquement, les catégories de Données à Caractère Personnel que nous traitons incluent ce qui suit, étant précisé qu’en toute circonstance le traitement de telles informations n’intervient que lorsque ce traitement est permis par (et conforme à) la loi applicable (en ce compris toutes exigences d’obtention de votre consentement préalable) :
- Votre identité –vos nom(s) et prénom(s), date et lieu de naissance, photo, sexe, nationalité adresse postale et email ;
- Vos coordonnées bancaires – votre RIB pour le versement des dédommagements ;
Uniquement lorsque les missions le requièrent expressément :
- des informations sur votre vie professionnelle ;
- des détails sur votre vie personnelle (habitudes de vie, situation familiale) ;
- sous réserve de votre consentement préalable, des données pouvant révéler votre origine raciale ou ethnique, vos opinions politiques ou des données génétiques
Il est essentiel que vous fournissiez vos Données à Caractère Personnel car l’objet même de l’étude confiée par notre client implique nécessairement l’accès à de telles informations (par exemple, un test capillaire portant sur les cheveux frisés ou crépus, un test cosmétique portant sur le type de peau asiatique) Si vous ne nous fournissez pas ces informations, nous ne serons pas en mesure de vous inclure dans une telle étude.
Nous vous informerons lorsqu’il sera nécessaire de nous fournir vos Données à Caractère Personnel et nous vous indiquerons également les conséquences que pourraient avoir l’absence de fourniture de ces informations. Par exemple, si vous ne nous fournissez pas vos coordonnées bancaires, nous ne serons pas en mesure de vous dédommager.
4. Quelle est la base juridique de ce traitement et quelles sont ses finalités ?
Nous utilisons vos Données à Caractère Personnel pour un certain nombre de finalités que nous détaillons aux Sections 4.2 et 4.3 ci-après. La Section 4.1 décrit la base juridique (justification) pour le traitement de vos Données à Caractère Personnel.
4.1. Base Juridique pour le Traitement
Chaque fois que nous traitons vos Données à Caractère Personnel, nous le faisons sur le fondement d’une « justification » licite (ou base juridique) pour ce traitement. Par ailleurs, le traitement de catégories spéciales de Données à Caractère Personnel (y compris les données relatives à l’origine raciale ou ethnique, vos opinions politiques ou des données génétiques) sera également justifié au regard d’une base juridique.
Dans la majorité des cas, le traitement de vos Données à Caractère Personnel sera justifié par les raisons détaillées ci-après :
- Le traitement est nécessaire afin de donner plein effet à notre relation contractuelle (vous inclure dans notre club des consommateurs, collecter les coordonnées de votre compte bancaire pour vous dédommager, créer vos droits d’accès (email et mot de passe) pour votre connexion à l’interface sécurisée de notre site) ;
- Le traitement est nécessaire afin d’assurer notre conformité avec une obligation légale (par exemple la gestion de la sécurité informatique, l’éventuelle communication de données fiscales à une autorité gouvernementale ou d’informations sur votre dédommagement) ;
- Le traitement est réalisé aux fins de nos intérêts légitimes en qualité d’entreprise, lorsque vos intérêts, libertés et droits fondamentaux ne prévalent pas sur nos intérêts (par exemple, pour apprécier de nouvelles opportunités d’études, de tests et d’enquêtes) ; ou
- Le traitement est fondé sur votre consentement explicite et préalable (par exemple, pour utiliser votre photo à des fins commerciales ou sur notre page « Témoignages » sur le site).
Le traitement de catégories spéciales de Données à Caractère Personnel (aussi connues sous la désignation « données sensibles », c’est-à-dire dans notre cas les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, ou les données génétiques sera également justifié par votre consentement explicite.
atTests ne réalisera aucune mission avec des Volontaires âgés de moins de 16 ans, à moins que l’un de ses clients ne le lui demande explicitement par écrit. Dans ce dernier cas, atTests veillera à obtenir le consentement écrit préalable des parents des Volontaires concernés et archivera ledit consentement afin d’être en mesure de démontrer que ce consentement a été dûment obtenu.
Par ailleurs, lorsque vos données sont communiquées aux clients d’atTests (notamment pour l’organisation de réunions dans les locaux des clients), ces derniers peuvent être conduits à solliciter, en leur qualité de responsable du traitement à compter de cette transmission, un consentement distinct de celui obtenu par atTests, afin de s’assurer de votre accord pour les traitements de données qu’ils envisageraient de réaliser pour des finalités spécifiques.
4.2. Traitement aux Fins de Gestion des Volontaires
atTests traite vos Données à Caractère Personnel aux fins de gestion des Volontaires, c’est-à-dire la gestion des personnes désirant participer à des études, enquêtes de terrain, réunions de consommateurs ou tests de produits. Cela peut inclure le traitement de Données à Caractère Personnel pour :
- Gérer et mettre à jour la base de données des Volontaires ;
- Gérer les inscriptions de Volontaires sur le site atTests, permettant la création de leur profil et de répondre à des annonces ;
- Préparer et gérer les annonces destinées à recruter les Volontaires pour participer à des réunions consommateurs, des tests ou des groupes en ligne ;
- Recruter des Volontaires pour participer à des réunions consommateurs, à des groupes en ligne ou à des tests de produits par le biais d’annonces sur le site Internet et sur les réseaux sociaux, d’envois de listes de réunions et de tests et d’appels téléphoniques comprenant la pré-sélection sur la base des profils renseignés, de la réponse à l’annonce, d’un entretien avec un enquêteur et éventuellement d’un contre-entretien avec un enquêteur encadrant ;
- Vérifier certaines réponses fournies par les Volontaires, et effectuer d’autres vérifications destinées à assurer l’exactitude des données contenues dans le fichier (déduplication/dédoublonnage) ;
- Transmettre au Syntec des listes de participants aux réunions consommateurs ;
- Organiser des réunions consommateurs et suivi (confirmations, reports, absences) ;
- Conduire des études de terrains auprès de Volontaires ;
- Envoyer des emails de prospection, SMS et newsletters ;
- Gérer le versement des dédommagements aux Volontaires (notamment par le biais d’un RIB à remplir en ligne, disponible à partir d’un lien sécurisé « https ») ;
- Traiter les questions, réclamations, plaintes et demandes de désinscription des Volontaires.
A chaque fois qu’une mission implique le traitement de données sensibles, nous solliciterons votre consentement sous une forme distincte des présentes afin de garantir qu’il soit donné de manière libre, éclairée (informée) et explicite. L’information concernant un traitement fondé sur votre consentement vous sera fournie au moment où ce consentement sera sollicité, ainsi qu’une information sur les conséquences si vous ne deviez pas nous accorder ce consentement.
4.3. Constater, Exercer et Défendre un Droit en Justice
atTests peut traiter vos Données à Caractère Personnel (y compris des catégories spéciales de Données à Caractère Personnel) aux fins de constater, d’exercer ou de défendre un éventuel droit en justice.
Vos Données à Caractère Personnel sont traitées pour cette raison sur le fondement de l’intérêt légitime de atTests à traiter vos Données à Caractère Personnel pour ces finalités afin d’être en capacité de constater, d’exercer ou de défendre un éventuel droit en justice en cas de litige ou de différend entre vous et atTests, ou entre atTests et un tiers (notamment un client d’atTests ou un prestataire d’atTests, qui peut être lié à l’une des études, enquêtes réunion ou l’un des tests réalisés).
4.4. Décision individuelle automatisée
Nous n’utilisons pas vos Données à Caractère Personnel pour prendre des décisions individuelles automatisées, y compris le profilage.
5. D’où proviennent ces données ?
En premier lieu, les Données à Caractère Personnel vous concernant que nous traitons ont été fournies directement par vos soins, dans le cadre de votre saisie sur le formulaire d’inscription présent sur notre site ou par voie postale, ou encore par des emails que vous nous adressez ultérieurement.
Nous recevons également des informations émanant de nos clients, qui peuvent inclure des Données à Caractère Personnel vous concernant, notamment dans le cadre de démarches de vérifications et de contrôle des informations fournies (par exemple : âge différent pour une même personne sur deux études la même année) afin de nous assurer de la sincérité des informations qui seront fournies lors des études, enquêtes, réunions et tests.
6. Combien de temps atTests conserve-t-il vos Données à Caractère Personnel ?
Nous conservons vos Données à Caractère Personnel pour une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, ce qui signifie dans de nombreux cas la durée de l’inscription des Volontaires comme membres du club des consommateurs.
En cas de demande de désinscription :
- Les Volontaires n’ayant jamais participé à des études, enquêtes, tests ou réunions sont désinscrits immédiatement ;
- Les Volontaires ayant participé à de telles missions sont désinscrits immédiatement (et ne sont plus recontactés) mais leurs données sont archivées jusqu’à ce qu’un délai de trois (3) ans depuis leur dernière participation à un test ou une réunion soit écoulé.
Nous pouvons néanmoins conserver vos Données à Caractère Personnel pour des périodes plus longues correspondant à une durée de prescription légale, ou pour constater, exercer ou défendre un droit en justice, ou toute autre manière permise ou requise par la loi, de telle sorte que nous disposions d’un dossier exact concernant notre collaboration en cas de réclamations ou de contestations, ou lorsque nous sommes tenus de conserver ces informations en raison d’un processus juridique, d’une autorité légale ou autre entité gouvernementale ayant autorité pour formuler une telle requête.
7. Données à Caractère Personnel concernant des Tiers
En dehors des Données à Caractère Personnel vous concernant, vous pouvez également fournir à atTests des Données à Caractère Personnel relatives à des tiers, notamment les membres composant votre foyer (enfants, conjoint, parents). Pour les besoins de la présente stipulation, le terme « Données à Caractère Personnel » doit être considéré comme incluant les informations relatives à ces tiers. Afin de fournir à atTests ces Données à Caractère Personnel concernant des tiers, vous devez au préalable informer ces derniers des Données à Caractère Personnel que vous avez l’intention de fournir à atTests et du traitement qui sera réalisé par atTests, tel que détaillé par cette Charte et, le cas échéant, recueillir leur consentement.
8. Qui a accès à vos Données à Caractère Personnel ?
L’accès à vos Données à Caractère Personnel est limité aux destinataires suivants, lesquels n’ont accès qu’aux seules données qui leur sont strictement nécessaires :
- Au sein d’atTests, les services habilités en interne : enquêteurs, comptabilité, direction ;
- Les partenaires (notamment les organisateurs des réunions) ;
- Les clients (par exemple, industriels du secteur cosmétique, sociétés d’études de marché devant accéder à ces informations pour vous convier à une réunion organisée dans leurs locaux) ;
- Notre cabinet d'expertise comptable externe ;
- Les banques teneurs de compte ;
- Le Syntec (organisme professionnel dont atTests est adhérent, auquel pourront être transmis des informations vous concernant dans le cadre de son activité de régulation du secteur « Marketing et Opinion »).
Lorsque ces tiers agissent en qualité de « sous-traitant » (par exemple nos partenaires organisateurs de réunion), ils effectuent leurs tâches pour notre compte et selon nos instructions pour les finalités mentionnées ci-dessus. Dans cette situation, vos Données à Caractère Personnel seront uniquement divulguées à ces tiers dans la mesure nécessaire à la fourniture des services requis.
9. Absence de transfert hors de l’UE/EEE
Pour assurer une sécurité optimale de vos Données à Caractère Personnel, nous veillons à n’effectuer ni autoriser aucun transfert de Données à Caractère Personnel hors de l’Union Européenne/Espace Economique Européen.
10. Quelles mesures de sécurité prenons-nous ?
Nous mettons en œuvre des standards de sécurité physique, logique, technique et organisationnelle, conçus pour protéger vos Données à Caractère Personnel de toute perte, détournement ou mauvaise utilisation, altération, destruction ou dommage.
Nous prenons des mesures pour limiter l’accès à vos Données à Caractère Personnel aux seuls intervenants qui ont besoin d’y accéder pour l’une des finalités listées à la Section 4.
Vous avez également un rôle important à jouer dans la protection de la sécurité de vos Données à Caractère Personnel et vous devriez prêter attention à leur diffusion et à la manière dont vous protégez vos communications et équipements.
11. Quels sont vos droits ?
atTests prendra des mesures conformes à la loi applicable afin de maintenir vos Données à Caractère Personnel exactes, complètes et mises à jour. Vous disposez du droit d’obtenir la correction (c’est-à-dire la rectification) de Données à Caractère Personnel inadéquates, incomplètes ou inexactes. Vous êtes également tenu de vous assurer que les changements dans votre situation soient notifiés à atTests afin que nous puissions nous assurer que vos Données à Caractère Personnel sont à jour. atTests met à votre disposition des outils (votre profil accessible par connexion sécurisée sur notre site) vous permettant de mettre à jour vos Données à Caractère Personnel (ainsi que celles des membres de votre foyer) et vous demeurez responsable de l’utilisation de ces outils.
Vous avez également le droit de solliciter l’accès à vos Données à Caractère Personnel ainsi que toutes informations additionnelles concernant le traitement (une « Demande d’Accès »).
Dans le cas où vos Données à Caractère Personnel sont traitées sur le fondement de votre consentement, vous avez le droit de retirer votre consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci.
Depuis le 25 mai 2018 et l’entrée en vigueur du Règlement (UE) Général sur la Protection des Données 2016/679 (RGPD), vous disposez également des droits complémentaires suivants :
• Portabilité des données – lorsque nous nous appuyons (en tant que base juridique pour le traitement) (i) sur votre consentement, (ii) sur le fait que le traitement est nécessaire à l’exécution d’un contrat auquel vous êtes une partie ou (iii) sur le fait que nous prenions, à votre demande, des mesures précontractuelles et que les Données à Caractère Personnel sont traitées à l’aide de procédés automatisés, vous disposez du droit de recevoir les Données à Caractère Personnel que vous avez fournies à atTests dans un format structuré, couramment utilisé et lisible par machine ainsi que du droit de nous demander de les transmettre à un autre responsable du traitement lorsque cela est techniquement possible.
• Droit à l’effacement – vous disposez du droit d’obtenir l’effacement de vos Données à Caractère Personnel dans des circonstances spécifiques, notamment lorsque vous avez retiré votre consentement, lorsque vous vous opposez à un traitement fondé sur nos intérêts légitimes et nous n’avons pas de motifs légitimes et impérieux (voir ci-après) qui prévaudraient ou lorsque les Données à Caractère Personnel font l’objet d’un traitement illicite.
• Droit à la limitation du traitement – vous disposez du droit de limiter notre traitement de vos Données à Caractère Personnel (c’est-à-dire de n’autoriser que leur conservation) lorsque :
◦ Vous contestez l’exactitude des Données à Caractère Personnel, jusqu’à ce que nous ayons pris des mesures suffisantes afin de corriger ou de vérifier leur exactitude ;
◦ Lorsque le traitement est illicite mais vous ne souhaitez pas que nous effacions vos Données à Caractère Personnel ;
◦ Lorsque nous n’avons plus besoin de vos Données à Caractère Personnel aux fins du traitement mais elles vous sont encore nécessaires pour la constatation, l’exercice ou la défense de droits en justice ; ou
◦ Lorsque vous vous êtes opposé à un traitement justifié par nos intérêts légitimes (voir ci-après), pendant la vérification portant sur le point de savoir si atTests dispose de motifs légitimes et impérieux qui la contraignent à poursuivre le traitement.
Lorsque vos Données à Caractère Personnel font l’objet d’une limitation, nous ne procèderons à leur traitement qu’avec votre consentement ou pour la constatation, l’exercice ou la défense de droits en justice.
• Droit d’opposition au traitement (y compris le profilage) fondé sur des motifs d’intérêts légitimes – lorsque nous nous appuyons sur nos intérêts légitimes pour traiter des Données à Caractère Personnel, vous disposez du droit de vous opposer à ce traitement. Si vous vous y opposez, nous devons cesser ce traitement à moins que nous ne puissions démontrer qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur vos intérêts et vos droit et libertés, ou que nous ayons besoin des Données à Caractère Personnel pour la constatation, l’exercice et la défense de droits en justice. Lorsque nous nous appuyons sur notre intérêt légitime en tant que base pour le traitement, nous estimons que nous pouvons démontrer ces motifs légitimes et impérieux, néanmoins nous prendrons en considération chaque situation au cas par cas.
• Vous disposez également du droit d'introduire une réclamation auprès de la CNIL, si vous considérez que le traitement de vos Données à Caractère Personnel viole la loi applicable, laquelle peut être contactée sous l’URL https://www.cnil.fr/fr/agir ou par courrier postal à l’adresse suivante : CNIL – 3 Place de Fontenoy – TSA 80715 – 75334 Paris – Cedex 07.
12. Comment exercer vos droits ou soumettre une Demande d’Accès ?
Si vous souhaitez exercer l’un de vos droits ou soumettre une Demande d’Accès, nous vous remercions de nous soumettre votre demande par écrit en interne adressé à cnil@attests.com, portant la mention « Demande RGPD ». Vous pouvez également nous appeler au 01 43 71 19 41 ou nous adresser une demande écrite à l’adresse suivante : atTests 37 rue de Chanzy – 75011 Paris.
13. Modifications de la présente Charte
Toutes modifications ou mises à jour que nous pourrions effectuer sur cette Charte vous sera notifiée avant sa prise d’effet.
Dernière mise à jour : juillet 2018. ©Tous droits réservés.