Politique de confidentialité

POLITIQUE DE CONFIDENTIALITÉ – ACCORD DE TRAITEMENT DES DONNÉES

Dernière mise à jour : 23 juin 2025

Pour accéder et utiliser la plateforme et les services de ENVO, le Client accepte la Politique de Confidentialité de ENVO.

Ce document fait partie intégrante de tout autre accord écrit ou électronique entre ENVO et le Client.

ENVO garantit la protection des Données à caractère personnel des Personnes Concernées, conformément aux lois et réglementations applicables, et en particulier au RGPD.

Dans le cadre de la fourniture de son service ENVO agit en tant que responsable de traitement, au sens donné par le RGPD.

DÉFINITIONS

DéfinitionsDescription de la définition
« Le service ENVO »ENVO est le propriétaire et le fournisseur du service ENVO, une plateforme d’aide à la gestion et à l’organisation du budget.
« Données personnelles du Client »Toutes les données fournies à ENVO via l’utilisation du service ENVO par le Client et les Utilisateurs.
« Lois sur la protection des données »Toutes lois et réglementations européennes applicables en matière de protection des données, notamment la loi française n°78-17 du 6 janvier 1978 et le RGPD.
« Personne concernée »Une personne physique identifiée ou identifiable.
« RGPD »Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
« Données personnelles »Toute information relative à une Personne concernée fournie par le Client à ENVO.
« Violation de données personnelles »Une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée de, ou l’accès non autorisé à des Données personnelles transmises, stockées ou autrement traitées.
« Traitement » (ou « Traiter »)Toute opération ou ensemble d’opérations effectuées par ENVO sur des Données personnelles, qu’elles soient automatisées ou non, telles que la collecte, l’enregistrement, l’organisation, le classement, la conservation, l’adaptation, la modification, la récupération, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
« Clauses contractuelles types »Clauses types de protection des données pour le transfert de Données personnelles vers des Sous-traitants établis dans des pays tiers, mises à jour par la Commission européenne le 4 juin 2021.
« Sous-traitant »Tout tiers dûment autorisé à Traiter des Données personnelles pour le compte de ENVO conformément à la fourniture du service ENVO.
« Transfert »Un transfert de Données personnelles vers un pays tiers ou une organisation internationale.
« Utilisateur »Tout utilisateur régulier ou occasionnel du service ENVO.

1. OBJET ET PORTÉE

Le présent Accord vise à assurer la conformité avec les exigences des Lois sur la protection des données.

L’annexe à cet Accord, le cas échéant fait partie intégrante de l’Accord.

2. EFFET ET INVARIABILITÉ DE L’ACCORD

L’Accord prévoit des garanties appropriées, incluant les droits exécutoires des Personnes concernées et des recours juridiques efficaces conformément au RGPD.

3. INFORMATION DES PERSONNES CONCERNÉES / POLITIQUE DE CONFIDENTIALITÉ

Les Personnes concernées acceptent les termes de la Politique de confidentialité en accédant au service ENVO.

4. INTERPRETATION

Lorsque les présentes Clauses utilisent des termes définis dans le RGPD, ces termes ont le même sens que dans ce règlement.

Ces Clauses doivent être lues et interprétées à la lumière des dispositions du RGPD.

Ces Clauses ne doivent pas être interprétées d’une manière qui contredirait les droits et obligations prévus par le RGPD.

5. HIÉRARCHIE

En cas de contradiction entre les présentes Clauses et les dispositions d’accords connexes entre les Parties, existants au moment de leur conclusion ou conclus ultérieurement, les présentes Clauses prévaudront.

6. DESCRIPTION DU TRAITEMENT

Nous sommes susceptibles de recueillir et de conserver vos données à caractère personnel, notamment lorsque vous :

  • naviguez sur le site / l’application,
  • créez un compte,
  • nous contactez.

Nous utilisons vos données à caractère personnel pour permettre la mise en œuvre et la gestion des services de l’application et répondre à vos demandes spécifiques.

Nous utilisons également vos données à caractère personnel dans le but d’exploiter et d’améliorer nos services, notre site et notre démarche.

Ces informations sont utilisées uniquement par nos soins et nous permettent de mieux adapter nos services à vos attentes.

Si vous avez décidé de recevoir des courriels et des messages de notre part lors de la création de votre compte, vous recevrez alors des messages électroniques et alphanumériques portant sur nos produits et promotions.

Nous utiliserons alors les données à caractère personnel que vous avez fournies lors de votre enregistrement.

Vous pouvez vous désabonner de ces envois à tout moment.

6.1. Navigation sur le site / l’application

Données de connexion. À chaque fois que vous vous connectez à notre site / application, nous recueillons des données à caractère personnel telles que, notamment, votre adresse IP et l’adresse MAC de votre ordinateur, la date et l’heure de connexion, ainsi que des informations sur le navigateur que vous utilisez.

Données de navigation. Nous recueillons également les informations permettant d’identifier de quelle façon vous accédez au site / application, quelles sont les pages consultées et pendant combien de temps.

Dans ce cadre, nous pouvons avoir recours à l’utilisation de cookies.

6.2. Création d’un compte

L’accès à certains de nos services nécessitent la création préalable d’un compte.

Il vous sera demandé de renseigner un certain nombre de données à caractère personnel lors de la création de votre compte, notamment vos noms et prénoms et votre adresse électronique.

6.3. Contacts

Afin de donner suite aux demandes que vous pourriez effectuer auprès de notre service client et de confirmer les informations vous concernant, nous pourrons utiliser vos nom, prénom, adresse électronique et numéro de téléphone.

7. CLAUSE D’ADHÉSION

Une entité non partie à cet Accord peut, avec l’accord des Parties, y adhérer à tout moment.

L’entité adhérente n’aura aucun droit ou obligation découlant de cet Accord avant d’y être devenue Partie.

8. GARANTIES DE PROTECTION DES DONNÉES

ENVO garantit pouvoir remplir ses obligations en vertu de cet Accord grâce à la mise en œuvre de mesures techniques et organisationnelles appropriées.

8.1. Limitation des finalités

ENVO ne traite les Données personnelles que pour les finalités spécifiées dans le paragraphe 6.

Un autre traitement n’est possible que :

  • avec le consentement préalable de la Personne concernée ;
  • lorsque cela est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ;
  • ou lorsque cela est nécessaire pour protéger les intérêts vitaux de la Personne concernée ou d’une autre personne physique.
8.2. Transparence

Afin de permettre aux Personnes concernées d’exercer effectivement leurs droits conformément à la Clause 10, ENVO doit les informer, soit directement, soit par l’intermédiaire du Client :

  • de son identité et de ses coordonnées ;
  • des catégories de Données personnelles traitées ;
  • lorsqu’il a l’intention de transférer les Données personnelles à un ou plusieurs tiers, du ou des destinataires (ou des catégories de destinataires, selon le cas, pour fournir une information significative), de la finalité d’un tel transfert et de sa base légale conformément à la Clause 8.7.

Le paragraphe (a) ne s’applique pas si la Personne concernée dispose déjà de l’information, notamment si celle-ci a déjà été fournie par le Client, ou si la fourniture de cette information s’avère impossible ou exigerait un effort disproportionné de la part de ENVO.

Dans ce dernier cas, ENVO doit, dans la mesure du possible, rendre l’information accessible publiquement.

Ce qui précède ne porte pas atteinte aux obligations du Client.

8.3. Exactitude et minimisation des données

Chaque Partie doit veiller à ce que les Données personnelles soient exactes et, si nécessaire, tenues à jour.

ENVO doit prendre toutes les mesures raisonnables pour s’assurer que les Données personnelles inexactes, au regard des finalités du traitement, soient effacées ou rectifiées sans délai.

Si l’une des Parties prend connaissance que les Données personnelles qu’elle a transférées ou reçues sont inexactes ou obsolètes, elle doit en informer l’autre Partie sans retard injustifié.

ENVO doit veiller à ce que les Données personnelles soient adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités du traitement.

8.4. Limitation de la conservation

ENVO ne doit conserver les Données personnelles que le temps nécessaire aux finalités pour lesquelles elles sont traitées.

Elle doit mettre en place des mesures techniques ou organisationnelles appropriées pour garantir le respect de cette obligation, y compris l’effacement ou l’anonymisation des données et de toutes les sauvegardes à l’issue de la période de conservation.

8.5. Sécurité du traitement

ENVO, et durant la transmission également le Client, doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des Données personnelles, y compris la protection contre une violation de sécurité entraînant la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé(e), qu’ils soient accidentels ou illicites (« Violation de Données personnelles »).

Ils doivent tenir compte notamment de l’état de l’art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.

Les Parties doivent notamment envisager l’utilisation du chiffrement ou de la pseudonymisation, y compris pendant la transmission, lorsque cela permet d’atteindre les objectifs du traitement.

ENVO doit effectuer des vérifications régulières pour garantir un niveau de sécurité approprié.

ENVO doit s’assurer que les personnes autorisées à traiter les Données personnelles se sont engagées à la confidentialité ou sont soumises à une obligation légale de confidentialité.

En cas de Violation de Données personnelles, ENVO doit prendre les mesures appropriées pour y remédier, y compris pour atténuer ses effets négatifs éventuels.

Si la Violation de Données personnelles est susceptible d’engendrer un risque pour les droits et libertés des personnes, ENVO doit, sans retard excessif, notifier l’incident au Client et à l’autorité de contrôle compétente conformément à la Clause 12. Cette notification doit contenir :

  1. une description de la nature de la violation (avec, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données),
  2. ses conséquences probables,
  3. les mesures prises ou proposées pour y remédier,
  4. les coordonnées d’un point de contact pour plus d’informations.

Si une notification complète immédiate n’est pas possible, elle peut se faire par étapes sans retard excessif.

Si la violation est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes, ENVO doit également informer les personnes concernées sans retard excessif, en coopération avec le Client si nécessaire, sauf si des mesures atténuent significativement ce risque ou si cette notification entraînerait des efforts disproportionnés.

Dans ce cas, ENVO devra faire une communication publique.

ENVO doit documenter tous les faits relatifs à la Violation de Données personnelles, y compris ses effets et les actions correctives entreprises.

8.6. Données sensibles

Si le traitement implique des Données sensibles (origine raciale ou ethnique, opinions politiques, croyances religieuses ou philosophiques, appartenance syndicale, données génétiques, biométriques, santé, vie sexuelle, orientation sexuelle, infractions pénales), ENVO doit appliquer des restrictions spécifiques et/ou des garanties supplémentaires adaptées à la nature et aux risques des données, comme :

  • limiter l’accès au personnel autorisé,
  • mettre en place des mesures de sécurité supplémentaires (pseudonymisation),
  • imposer des restrictions à la divulgation ultérieure.
8.7. Transferts

ENVO ne doit pas transférer de Données personnelles à un tiers situé hors de l’Union européenne sauf si :

  • le tiers est lié par les Clauses Contractuelles Types appropriées ;
  • le transfert est effectué vers un pays bénéficiant d’une décision d’adéquation selon l’article 45 du RGPD ;
  • des garanties appropriées sont en place selon les articles 46 ou 47 du RGPD ;
  • un instrument contraignant est signé entre ENVO et le tiers ;
  • cela est nécessaire pour l’exercice de droits en justice ou la défense d’intérêts vitaux ;
  • ou si la personne concernée a donné son consentement explicite pour un transfert spécifique, après avoir été informée des risques.

Tout transfert reste soumis aux autres garanties prévues par ces Clauses, notamment la limitation de finalité.

8.8. Traitement sous l’autorité de ENVO

ENVO doit veiller à ce que toute personne agissant sous son autorité, y compris un sous-traitant, ne traite les données que sur ses instructions.

8.9. Documentation et conformité

Chaque Partie doit être en mesure de démontrer sa conformité à la politique de confidentialité.

ENVO doit conserver une documentation appropriée des activités de traitement sous sa responsabilité.

Cette documentation doit être mise à disposition de l’autorité de contrôle compétente sur demande.

9. DROITS DES PERSONNES CONCERNÉES

ENVO, avec l’assistance du Client si nécessaire, doit répondre aux demandes des Personnes concernées relatives au traitement de leurs Données personnelles dans un délai d’un mois.

Il doit faciliter l’exercice de ces droits et fournir les informations dans un langage clair et accessible.

Sur demande, ENVO doit notamment, sans frais :

  • confirmer si des Données personnelles sont traitées et, le cas échéant, fournir une copie des données ;
  • informer sur les destinataires éventuels des données, la finalité et la base du transfert (cf. clause 8.7) ;
  • informer sur le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • rectifier les données inexactes ;
  • effacer les données si leur traitement est contraire aux Clauses ou si la personne retire son consentement.

Si ENVO utilise les Données personnelles à des fins de marketing direct, il doit cesser dès que la personne s’y oppose.

Aucune décision automatisée produisant des effets juridiques ne doit être prise sans le consentement explicite de la personne ou autorisation légale, avec des garanties telles que :

  • information préalable sur la logique et les conséquences ;
  • droit de contester la décision, donner son point de vue et obtenir une intervention humaine.

En cas de demandes excessives (répétitives notamment), ENVO peut facturer des frais raisonnables ou refuser, si permis par la législation applicable.

En cas de refus, ENVO doit informer la personne concernée des motifs, du droit à recours et de la possibilité de saisir l’autorité de contrôle.

10. VOIES DE RECOURS

ENVO informera les personnes concernées, de manière transparente et facilement accessible, par notification individuelle ou sur son site web, d’un point de contact habilité à traiter les réclamations.

Elle traitera sans délai toute plainte reçue d’une personne concernée.

ENVO accepte que les personnes concernées puissent également déposer une plainte auprès d’un organisme indépendant de résolution des litiges, sans frais pour la personne concernée.

Elle informera les personnes concernées, conformément au paragraphe (a), de ce mécanisme de recours, en précisant qu’elles ne sont pas tenues de l’utiliser ni de suivre un ordre particulier pour obtenir réparation.

En cas de litige entre une personne concernée et l’une des Parties concernant la conformité au RGPD, cette Partie fera de son mieux pour résoudre le problème à l’amiable et dans un délai raisonnable.

Les Parties se tiendront informées de tels litiges et coopéreront, le cas échéant, pour les résoudre.

11. RESPONSABILITÉ

Chaque Partie est responsable envers l’autre des dommages qu’elle cause en enfreignant le présent accord sur la protection des données.

Chaque Partie est responsable envers la personne concernée, qui a droit à une indemnisation, pour tout dommage matériel ou moral causé par la violation des droits de tiers bénéficiaires prévus dans ces clauses. Cela n’affecte pas la responsabilité du Client en vertu du RGPD.

Lorsque plusieurs Parties sont responsables d’un dommage causé à une personne concernée en violation de ces clauses, elles sont solidairement responsables, et la personne concernée peut engager une action contre n’importe laquelle d’entre elles.

Les Parties conviennent que si l’une d’elles est tenue responsable conformément au paragraphe (c), elle peut réclamer aux autres Parties la part de l’indemnisation correspondant à leur responsabilité dans le dommage.

ENVO ne peut invoquer la conduite d’un sous-traitant ou sous-traitant secondaire pour se soustraire à sa propre responsabilité.

12. CONTRÔLE

L’autorité de contrôle compétente pour veiller au respect par le Client du RGPD en ce qui concerne le transfert de données, est celle qui exerce la compétence en la matière.

ENVO accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer dans toute procédure visant à garantir le respect des présentes clauses.

En particulier, ENVO s’engage à répondre aux demandes, se soumettre à des audits, et respecter les mesures prises par l’autorité de contrôle, y compris les mesures correctives ou indemnitaires.

Elle fournira une confirmation écrite que les actions nécessaires ont été entreprises.

13. OBLIGATION DE ENVO EN CAS D’ACCÈS PAR DES AUTORITÉS PUBLIQUES

ENVO s’engage à notifier le Client et, si possible, la personne concernée (avec l’aide du Client si nécessaire) dans les cas suivants :

  • si elle reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, visant à divulguer des données personnelles traitées en vertu du présent Accord ; la notification inclura les données demandées, l’autorité concernée, le fondement juridique de la demande et la réponse donnée ; ou
  • si elle apprend un accès direct par des autorités publiques aux données personnelles traitées dans le cadre du présent Accord ; la notification inclura toutes les informations disponibles à ENVO.

14. NON CONFORMITÉ AU PRÉSENT ACCORD ET RÉSILIATION

ENVO informera immédiatement le Client si elle n’est plus en mesure de respecter les présentes clauses, quelle qu’en soit la raison.

En cas de violation ou d’incapacité de ENVO à se conformer aux clauses, le Client suspendra le traitement de données personnelles jusqu’à ce que la conformité soit rétablie ou que le contrat soit résilié.

Le Client peut résilier le contrat, dans la mesure où il concerne le traitement de données personnelles, dans les cas suivants :

  • le traitement a été suspendu conformément au paragraphe (b) et la conformité n’est pas rétablie dans un délai raisonnable, au plus tard un mois ;
  • ENVO est en violation grave ou répétée des clauses ;
  • ENVO ne respecte pas une décision contraignante d’une autorité de contrôle ou d’un tribunal compétent.

Les données personnelles transférées avant la résiliation devront, au choix du Client, être immédiatement renvoyées ou supprimées. Il en va de même pour toute copie des données. ENVO certifiera la suppression au Client. Jusqu’à leur suppression ou retour, ENVO continuera de se conformer aux présentes clauses.

15. DROIT APPLICABLE

Le présent Accord est régi par le droit français.

16. JURIDICTION COMPÉTENTE

Tout litige découlant du présent Accord sera soumis aux tribunaux de MEAUX.