Nous accordons la plus grande importance au respect des droits des personnes en termes de traitement des données personnelles ci-après dénommées : les données. Cette déclaration explique quelles sont les données personnelles que nous collectons, l’usage que nous en faisons et les moyens que nous mettons en œuvre pour en garantir la sécurité (intégrité, confidentialité et disponibilité). Elle vise également à vous informer de vos droits et des moyens de les exercer auprès de Creos.
Dans le cadre de ses obligations de service public en tant que Gestionnaire de réseau (GRD), Creos réalise de nombreuses activités en partenariat avec ses clients et ses partenaires. Ces activités seront référencées comme services dans le cadre de ce document.
Creos propose également des prestations et offres en dehors de ses activités de gestionnaire de réseau, elles seront référencées comme offres dans le cadre de ce document.
Cette déclaration s’applique aux services et offres proposés par Creos Luxembourg.
A partir du 25 mai 2018, le règlement général sur la protection des données (GDPR – General Data Protection Regulation) sera d’application dans tous les pays membres de l’Union Européenne. Ce texte vise la protection des personnes physiques et plus particulièrement le traitement des données à caractère personnel et leur libre circulation.
Le règlement général précité vise à accorder aux citoyens européens plus de contrôle sur leurs données personnelles, à responsabiliser davantage les entreprises et à renforcer le rôle des autorités locales de protection des données (CNPD – Commission Nationale de la Protection des Données au Luxembourg).
Le GDPR s’applique aux traitements de données personnelles des personnes physiques vivantes. Il s’agit notamment de nos clients et ex-clients, prospects, fournisseurs, employés, etc. Toute personne dont les données personnelles font l’objet d’un traitement par Creos Luxembourg S.A. peut trouver des informations complémentaires sur ces traitements dans la présente notice.
Qu’entend-t-on par "données personnelles" et "traitement" ?
"données personnelles" (données à caractère personnel) :
"traitement" :
a. Données personnelles transmises directement par la personne concernée
Nous traitons les données personnelles que vous nous transmettez personnellement ou par un mandataire, ou que vous transmettez à nos partenaires que nous avons mandatés.
Cela peut se faire :
b. Données personnelles recueillies par des moyens automatisés
Nous recueillons des données personnelles par des échanges via des systèmes informatiques.
Nous échangeons des informations :
Nous récoltons des données provenant des installations techniques du réseau à des fins de gestion de celui-ci, en rapport avec les services ou offres demandés ou dans le cadre de nos obligations.
Dans le but d’assurer des services et offres de qualité, nous récoltons les données minimales nécessaires à leur mise en œuvre.
Toutes ces données sont récoltées dans le respect des lois ou dans le but de répondre au mieux à nos engagements.
Les données que nous recueillons peuvent inclure les éléments suivants :
Nom et données de contact : Nous recueillons votre prénom et votre nom de famille, votre adresse de messagerie, votre adresse postale, votre numéro de téléphone fixe ou mobile, la langue dans laquelle vous communiquez et d’autres données de contact similaires.
Identifiants : Dans des cas très spécifiques (Marchés publics, …), nous recueillons les mots de passe, et des informations de sécurité similaires utilisées pour votre authentification et l’accès à votre compte.
Données financières : Nous recueillons les données nécessaires au traitement de vos paiements notamment via les mandats SEPA.
Données contractuelles : Nous recueillons les données nécessaires à la conclusion et à la bonne exécution du contrat (commandes).
Données de consommation d’un client : Dans le cadre de l’utilisation du réseau, nous collectons les consommations d’un client par ¼ d’heure (électricité) / par heure (gaz) ou les consommations annuelles. A des fins de prévision pour la gestion du réseau, nous collectons également votre type standard de profil de consommation.
Données techniques : Nous recueillons les données techniques qui concernent les caractéristiques d’installations techniques et qui servent aussi bien à la gestion des installations elles-mêmes qu’à la gestion du réseau ainsi qu’à la définition et au contrôle des conditions tarifaires d’un contrat.
Nous utilisons les données pour l’exécution de nos missions de service public conformément aux lois modifiées du 1er août 2007 relatives à l’organisation des marchés de l’électricité et du gaz naturel, et pour la délivrance des services et offres que nous vous proposons.
Dans le cadre défini ci-avant, les données peuvent être transmises à des tiers.
Par exemple, vous emménagez dans un appartement et vous signez un contrat de fourniture avec le fournisseur de votre choix. Conformément à la loi modifiée du 1er août 2007 relative à l’organisation du marché de l’électricité, vous signez par la même occasion un contrat d’utilisation avec Creos : c’est ce que la loi appelle la "fourniture intégrée". Dans ce cadre, votre nom et vos données de contact seront transmises par le fournisseur de votre choix à Creos. Ces données pourront être utilisées :
Les données peuvent également être transmises à des organismes officiels de statistiques ou de contrôle en application d’une législation nationale ou européenne.
Nous portons une attention particulière au respect des principes du Règlement Général sur la Protection des Données (ci-après RGPD) par nos sous-traitants, qui peuvent être amenés à traiter des données personnelles, par une sélection de ces sous-traitants sur base de critères à respecter, par des clauses contractuelles et par un suivi du respect de ces règles.
Nous veillons également à ce que vos données soient stockées dans des pays qui respectent le RGPD et qui sont reconnus conformes par la Commission Européenne.
Intérêt légitime
Les destinataires possibles des données personnelles
Durée de conservation des données personnelles
30 ans et 12 ans pour les données financières
Type de données personnelles traitées
Intérêt légitime
Les destinataires possibles des données personnelles
Durée de conservation des données personnelles
30 ans et 12 ans pour les données financières
Type de données personnelles traitées
Intérêt légitime
Les destinataires possibles des données personnelles
Durée de conservation des données personnelles
15 ans et 12 ans pour les données financières
Type de données personnelles traitées
Intérêt légitime
Les destinataires possibles des données personnelles
Durée de conservation des données personnelles
30 ans et 12 ans pour les données financières
Type de données personnelles traitées
Intérêt légitime
Les destinataires possibles des données personnelles
Sous-traitants Creos
Durée de conservation des données personnelles
12 ans
Type de données personnelles traitées
Intérêt légitime
RGPD Article 6, 1.c
Les destinataires possibles des données personnelles
Durée de conservation des données personnelles
Varie de 30 à 12 ans selon le type de litige
Type de données personnelles traitées
Finalité
Traiter les demandes d'information, d'accès aux données, les réclamations,...
Intérêt légitime
Les destinataires possibles des données personnelles
Durée de conservation des données personnelles
Varie de 30 à 12 ans selon le type de traitement concerné
Type de données personnelles traitées
(1) Autorités luxembourgeoises : Ministères, Institut Luxembourgeois de Régulation (ILR), Administration du cadastre, Administrations communales, etc.
(2) Autres tiers : notaires, avocats, réviseurs d’entreprise, installateurs, fournisseurs d’énergie, Luxmetering, architectes, bureaux d’études, promoteurs, Chambre des métiers, etc
Selon les relations que nous avons avec nos clients/partenaires, les traitements des données personnelles peuvent varier.
En tant qu’utilisateur du réseau (consommateur) :
En tant que contractant dans le cadre d’un raccordement (preneur de raccordement), nous gérons et utilisons vos données pour la rédaction et le suivi ainsi que pour la facturation (2), (1).
En tant que propriétaire d’une installation gérée par le gestionnaire de réseau (GRD) :
En tant que client pour des offres non couvertes par le service public (offre non régulée), nous gérons et utilisons vos données pour la rédaction, le suivi et la facturation des offres/commandes et l’exécution des prestations (5).
En tant que mandataire d’un client (électricien,…), nous gérons vos données afin de maintenir à jour la base de données des mandats dans le cadre d’un raccordement, d’un projet de construction d’installations,… et vous permettre d’agir dans le cadre de votre mandat (1), (2), (3), (5), (7).
En tant qu’électricien/installateur gaz, nous gérons vos données à des fins de contact dans le cadre de nos différents traitements ainsi que comme personne responsable (signataire) de la bonne exécution de travaux (2), (3), (5).
En tant que professionnel du bâtiment, nous gérons vos données à des fins de contact dans un but de coordination ou d’information dans le cade de la réalisation de travaux (1), (2), (5).
En tant que personne de contact pour une société, nous enregistrons les données que nous recevons afin d’améliorer notre communication avec nos partenaires quels que soient les traitements concernés.
En tant que personne (client ou non), nous enregistrons vos données uniquement dans le but de répondre à votre demande (7) (demande d’information, annonce d’un problème,…) ou dans le cadre de la gestion d’un litige (6).
Nous faisons tout pour protéger vos données à caractère personnel et leur confidentialité, tant sur notre réseau informatique, nos réseaux de gaz naturel et d’électricité, dans nos bureaux ainsi que dans nos centres régionaux.
Nos collaborateurs ont été spécifiquement formés pour gérer les données confidentielles, y compris vos données, de la manière la plus adéquate possible.
Dans le cadre de chaque projet visant un traitement des données personnelles, nous effectuons d'abord une évaluation des risques et des besoins de sécurité, en préservant, avant tout, vos intérêts. Notre politique, nos exigences et nos normes de gestion en matière de protection des informations reposent notamment sur les normes internationales ISO 27000.
Des spécialistes garantissent que le niveau de sécurité de notre réseau informatique, de nos infrastructures et de nos systèmes d’information, correspond à des exigences élevées en la matière.
En outre, nous appliquons toutes les mesures techniques nécessaires pour protéger vos données personnelles contre un accès ou une utilisation illicite, ainsi que contre leur perte ou vol. Si malgré les multiples mesures de protection en place, une perte ou vol de vos données à caractère personnel devait se produire, vous seriez personnellement averti en tant que client dans les circonstances prévues par la loi.
Nous ne vendons pas vos données à des tiers.
Nous ne partageons pas les données de vos cartes de crédit ou d'autres informations financières à des fins de marketing.
Nous pouvons fournir vos informations personnelles à des tiers pour traiter ces informations à des fins légitimes. Dans ce cas, nous exigeons que ces tiers acceptent de traiter ces informations en fonction de nos instructions et exigences.
Le règlement relatif à la protection des données octroie certains droits aux utilisateurs ou personnes concernées. Ces droits sont :
a. Le droit d'être informé - Les responsables de traitement doivent être totalement transparents dans la façon dont ils utilisent les données personnelles.
b. Le droit d'accès - Les individus auront le droit de savoir exactement quelles informations sont détenues à leur sujet et comment elles sont traitées.
c. Le droit de rectification - Les particuliers auront le droit de rectifier les données personnelles si elles sont inexactes ou incomplètes.
d. Le droit d'effacement - Également connu sous le nom de "droit à l'oubli", il désigne le droit d'un individu à faire supprimer ou supprimer ses données personnelles sans avoir besoin d'une raison spécifique expliquant pourquoi il souhaite les effacer.
e. Le droit de restreindre le traitement - Fait référence au droit d'un individu de bloquer ou de supprimer le traitement de ses données personnelles.
f. Le droit à la portabilité des données - Cela permet aux individus de conserver et de réutiliser leurs données personnelles pour leur propre usage.
g. Le droit d'opposition - Dans certaines circonstances, les personnes ont le droit de s'opposer à ce que leurs données personnelles soient utilisées. Cela inclut, si une entreprise utilise des données personnelles à des fins de marketing direct, de recherche scientifique et historique, ou pour l'exécution d'une tâche dans l'intérêt public.
h. Droits de la prise de décision automatisée et du profilage - Le RGPD a mis en place des sauvegardes pour protéger les individus contre le risque qu'une décision potentiellement préjudiciable soit prise sans intervention humaine. Par exemple, les individus peuvent choisir de ne pas faire l'objet d'une décision lorsque la conséquence a une incidence légale sur eux, ou est basée sur un traitement automatisé.
Vous pouvez contacter notre service clients pour toute demande :
Tél.: 2624-2624
e-mail: info@creos.net
Le responsable de la protection des données de Creos, Monsieur Bernard Motro, peut être joint sous l’adresse email dpo@creos.net. Celui-ci se chargera de votre demande dans les meilleurs délais.
Pour les plaintes relatives au traitement de vos données à caractère personnel, vous pouvez vous adresser à l'Autorité de protection des données du Luxembourg :
Commission Nationale pour la Protection des Données (CNPD)
15, boulevard du Jazz
L-4370 Esch-sur-Alzette
Tél.: 2610 60 1
Fax: 2610 60 29
e-mail: info@cnpd.lu
Web: www.cnpd.lu