Politique de confidentialité
Dernière mise à jour le 02/11/2021
Validée par l’AG du 24/05/2022
La présente politique d’utilisation des données personnelles est faite conformément aux dispositions de la loi n°78-17 du 6 janvier 1978 (dite « Loi informatique et libertés » ou « LIL ») et du Règlement Général sur la protection des Données Personnelles (« RGDP ») n°2016/679.
Elle présente la politique interne d’utilisation des données personnelles à des fins de gestion que nous avons adoptée en tant que responsable de traitement.
1. Identité du responsable du traitement
PEFC Provence-Alpes-Côte d’Azur est une Association Loi 1901, immatriculée sous le numéro 0131023522 dont le siège est situé à Pié de Gâche – 84240 LA BASTIDE-DES-JOURDANS, dont le représentant légal est Monsieur Christian SALVIGNOL, Président.
PEFC Provence-Alpes-Côte d’Azur a pour objet la promotion et la mise en œuvre du dispositif de certification forestière de gestion durable PEFC, sur la région Provence-Alpes-Côte d’Azur et regroupe les propriétaires et exploitants forestiers, et entrepreneurs de travaux forestiers qui s’engagent dans la certification forestière régionale PEFC sur son territoire de compétence.
2. Registre des traitements
Le responsable de traitement tient un registre des traitements.
3. Personnes concernées par les traitements
Les personnes concernées (ci-après les « Personnes concernées ») par les traitements sont :
- Les participants à la certification régionale de l’entité d’accès à la certification (EAC) : les propriétaires forestiers, exploitants forestiers et entrepreneurs de travaux forestiers – dits adhérents
- Les prospects (potentiels adhérents)
- Les utilisateurs du site internet
- Les membres de l’EAC
- Les parties prenantes diverses de réseaux de partenaires (organisations professionnelles, élus, entreprises, journalistes, écologistes, PEFC France, etc.)
- Les fournisseurs et prestataires
4. Catégories de données traitées
Le responsable de traitement traite les catégories de données suivantes :
- Données relatives à l’identité de la personne (nom, prénom, adresse postale, adresse mail, téléphone) ;
- Données relatives aux moyens de paiement des adhérents ;
- Données relatives à la situation patrimoniale, familiale, économique et financière des adhérents (titres de propriété des parcelles) ;
- Données relatives à l’exploitation forestière (ex : contrat d’achat de bois) ;
- Données de connexion, adresses IP des utilisateurs du site.
5. Finalités et bases légales des traitements
Le responsable du traitement collecte des données à caractère personnel des Personnes concernées sur la ou les base(s) suivante(s) :
| FINALITES | BASE LEGALE |
| Gestion de l’engagement et enregistrement des adhésions | L’exécution des bulletins d’engagement à la Certification / exécution d’une mesure contractuelle |
| Gestion des radiations des adhérents | L’exécution des bulletins d’engagement à la Certification / exécution d’une mesure contractuelle |
| Contrôle interne des adhérents sur le respect des règles de gestion durable | L’exécution des bulletins d’engagement/ exécution d’une mesure contractuelle |
| Gestion des réclamations et plaintes | L’exécution de bulletins d’engagement/ exécution d’une mesure contractuelle |
| Gestion courante de l’EAC (comptabilité, gestion du personnel, fonctionnement associatif, …) | Intérêt légitime Obligation légale Exécution d’une mesure contractuelle |
| Agrément de l’EAC | Exécution d’une mesure contractuelle |
| Certification de l’EAC et réalisation des audits internes et externes | Exécution d’une mesure contractuelle |
| Relations avec PEFC France | Intérêt légitime Exécution d’une mesure contractuelle |
| Gestion documentaire de l’EAC | Intérêt légitime Exécution d’une mesure contractuelle |
| Formation du personnel de l’EAC | Obligation légale |
| Mise en œuvre du programme d’accompagnement | Intérêt légitime Exécution d’une mesure contractuelle |
| Promotion et développement de la certification, entretien des réseaux de partenaires | Intérêt légitime Ou Consentement |
| Gestion de crise et des situations d’urgence | Intérêt légitime Exécution d’une mesure contractuelle |
| Publication sur le site de PEFC France et/ou de PEFC Provence-Alpes-Côte d’Azur de la liste des propriétaires forestiers et entrepreneurs de travaux forestiers engagés dans PEFC | L’exécution de bulletins d’engagement/ exécution d’une mesure contractuelle |
| Transfert de données des adhérents à PEFC France à des fins de publication d’informations sur leur site, statistiques et de suivi des radiations | Exécution d’une mesure contractuelle |
| Gestion d’une liste d’opposition au traitement de données personnelles | Une obligation légale |
| Traçage, suivi de la navigation internet | Intérêt légitime |
6. Finalités des traitements et durées de conservation
Les données personnelles collectées par le responsable du traitement ont des finalités déterminées, explicites et légitimes.
Les données à caractère personnel faisant l’objet d’un traitement sont conservées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées.
Le responsable du traitement collecte des données à caractère personnel des Personnes concernées pour les durées suivantes :
| FINALITES | DUREE DE TRAITEMENT |
| Gestion de l’engagement et enregistrement des adhésions | La durée de l’adhésion + 15 ans |
| Gestion des radiations des adhérents | 15 ans à partir de la date de radiation |
| Contrôle interne des adhérents sur le respect des règles de gestion durable | La durée de l’adhésion + 15 ans |
| Gestion des réclamations et plaintes | La durée des prescriptions en matière de recours |
| Gestion courante de l’EAC (comptabilité, gestion du personnel, fonctionnement associatif, …) | Durée des contrats en vigueur + 10 ans Pour le reste : 10 ans |
| Agrément de l’EAC | Durée de validité du schéma de certification en vigueur sur la base duquel l’agrément a été donné |
| Certification de l’EAC et réalisation des audits internes et externes | 15 ans |
| Relations avec PEFC France | 10 ans |
| Gestion documentaire de l’EAC | 15 ans |
| Formation du personnel de l’EAC | 3 ans |
| Mise en œuvre du programme d’accompagnement | 15 ans à partir de sa date d’entrée en vigueur |
| Promotion et développement de la certification, entretien des réseaux de partenaires | Le temps nécessaire aux actions + 5 ans |
| Gestion de crise et des situations d’urgence | Durée de la situation + 15 ans |
| Publication sur le site de PEFC France et/ou de PEFC Provence-Alpes-Côte d’Azur de la liste des propriétaires forestiers et entrepreneurs de travaux forestiers engagés dans PEFC | Le temps nécessaire à la publication |
| Transfert de données des adhérents à PEFC France à des fins de publication d’informations sur leur site, statistiques et de suivi des radiations | Le temps nécessaire au transfert |
| Gestion d’une liste d’opposition au traitement de données personnelles | 3 ans |
| Traçage, suivi de la navigation internet | 2 ans |
7. Origine de la collecte
Les données à caractère personnel sont collectées lorsque la Personne concernée :
- Est membre de l’EAC
- Est salarié de l’EAC
- Est participant / adhérent à la certification régionale de l’EAC
- Contacte l’EAC afin d’avoir des informations ou à des fins d’adhésion
- S’inscrit à la newsletter
- S’inscrit à une formation, à une conférence organisée ou animée par l’EAC
- Utilise le formulaire de contact du site internet
- Entre en relation de partenariat avec l’EAC ou encore est membre des mêmes réseaux sociaux et/ou professionnels
- Est prestataire de l’EAC
8. Destinataires des données
Dans le cadre de ses activités, le Responsable de traitement peut être amené à transmettre les données de ses adhérents à certains destinataires, en particulier à PEFC France, à des fins de publication des données sur son propre site internet, suivi des radiations, ou encore à des fins statistiques, ce que l’adhérent accepte sans réserve.
9. Sous-traitants
Les Personnes concernées sont informées et acceptent que le responsable de traitement fasse appel à des sous- traitants de leurs données personnelles.
Le responsable de traitement a conclu un contrat écrit avec chacun de ses sous-traitants respectant les obligations de la loi informatique et libertés et du RGPD. Chaque sous-traitant n’agit que sur instructions du responsable de traitement et s’engage à offrir les mêmes garanties de protection des données personnelles. Chaque sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que les traitements de données soient conformes aux exigences légales et réglementaires.
Le responsable de traitement s’engage à faire appel uniquement à des sous-traitants :
- Établi dans un pays de l’Union Européenne ou,
- Établi dans un pays présentant un niveau de protection dit adéquat au sens des autorités européennes de protection des données ou,
- Disposant de garanties appropriées en application de l’article 46 du RGDP.
A défaut, le transfert de données ne pourra se faire que dans le respect de l’article 49 du RGPD.
La liste des sous-traitants est tenue à la disposition des Personnes concernées sur demande écrite. Le responsable de traitement s’engage à informer chaque Personne concernée de l’ajout ou changement de sous- traitant par courrier électronique dans les plus brefs délais, si ce changement a un impact négatif sur le traitement de ses données. La Personne concernée formulera toute observation ou objection par écrit dans les quinze jours à compter de la réception de cette information. A défaut de réponse dans ce délai, la Personne concernée reconnaît avoir ainsi autoriser ledit sous-traitant. Le responsable de traitement apportera à la Personne concernée toute information permettant d’établir la conformité du sous-traitant aux exigences de la réglementation.
10. Transfert de données hors Union Européenne
Le responsable du traitement ne réalise aucun transfert de données personnelles en dehors de l’Union Européenne.
11. Mesures de sécurité
Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées afin de
garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
- La pseudonymisation et le chiffrement des données à caractère personnel,
- Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement,
- Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles- ci dans des délais appropriés en cas d’incident physique ou technique,
- Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Le responsable du traitement prend des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée.
12. Politique en matière de cookie
Définition du cookie : Un cookie est un petit fichier texte (un traceur) qui est placé ou stocké sur le terminal de l’utilisateur (ordinateur, tablette ou appareil mobile) lorsqu’il visite le site internet. Le cookie permet de le reconnaître, de l’aider à naviguer de page en page sur un site internet, lui fournir des connexions sécurisées, ou encore de se souvenir de ses préférences lors de ses prochaines visites. Ces cookies peuvent aussi être des cookies internes propres au site mais aussi des cookies externes, c’est-à-dire des cookies mise en œuvre et contrôlés par des tiers.
Pour plus d’informations, consulter la page Politique de cookies.
13. Sort des données à caractère personnel après le décès – Droit d’accès, de rectification, de suppression et de portabilité des données
La Personne concernée par un traitement peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données personnelles après son décès. Ces directives peuvent être générales ou particulières.
La Personne concernée par un traitement bénéficie également d’un droit d’accès, d’opposition, de rectification, de suppression et, à certaines conditions, de portabilité de ses données personnelles. La personne concernée a le droit de retirer son consentement à tout moment si le consentement constitue la base légale du traitement.
La demande devra indiquer les nom et prénom, adresse e-mail ou postale, de la personne concernée, et être
signée et accompagnée d’un justificatif d’identité en cours de validité.
La Personne concernée peut exercer ses droits en adressant sa demande par écrit à : PEFC Provence-Alpes-Côte d’Azur
Marie de GUISA
Pié de Gâche
84240 LA BASTIDE-DES-JOURDANS
07 85 78 26 25
14. Réclamation
La Personne concernée par un traitement a le droit d’introduire une réclamation auprès de l’autorité de contrôle (CNIL).
