RGPD - Règlement Général sur la Protection des Données personnelles : Notice d'information générale

Nous accordons la plus grande importance au respect des droits des personnes en termes de traitement des données personnelles ci-après dénommées : les données. Cette déclaration explique quelles sont les données personnelles que nous collectons, l’usage que nous en faisons et les moyens que nous mettons en œuvre pour en garantir la sécurité (intégrité, confidentialité et disponibilité). Elle vise également à vous informer de vos droits et des moyens de les exercer auprès de Creos.

Dans le cadre de ses obligations de service public en tant que Gestionnaire de réseau (GRD), Creos réalise de nombreuses activités en partenariat avec ses clients et ses partenaires. Ces activités seront référencées comme services dans le cadre de ce document.

Creos propose également des prestations et offres en dehors de ses activités de gestionnaire de réseau, elles seront référencées comme offres dans le cadre de ce document.

Cette déclaration s’applique aux services et offres proposés par Creos Luxembourg.

1. Nouvelle régulation sur la protection des données personnelles : c’est quoi ?

A partir du 25 mai 2018, le règlement général sur la protection des données (GDPR – General Data Protection Regulation) sera d’application dans tous les pays membres de l’Union Européenne. Ce texte vise la protection des personnes physiques et plus particulièrement le traitement des données à caractère personnel et leur libre circulation.

Le règlement général précité vise à accorder aux citoyens européens plus de contrôle sur leurs données personnelles, à responsabiliser davantage les entreprises et à renforcer le rôle des autorités locales de protection des données (CNPD – Commission Nationale de la Protection des Données au Luxembourg).

2. A qui s’adresse cette notice ?

Le GDPR s’applique aux traitements de données personnelles des personnes physiques vivantes. Il s’agit notamment de nos clients et ex-clients, prospects, fournisseurs, employés, etc. Toute personne dont les données personnelles font l’objet d’un traitement par Creos Luxembourg S.A. peut trouver des informations complémentaires sur ces traitements dans la présente notice.

Qu’entend-t-on par "données personnelles" et "traitement" ?
 
"données personnelles" (données à caractère personnel) :

  • toute information relative à une personne physique identifiée ou identifiable ("personne concernée");
  • une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques propres à son identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique;

"traitement" :

  • toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, que ce soit par collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, récupération, consultation, utilisation, divulgation par transmission, diffusion ou autrement mise à disposition, alignement ou combinaison, restriction, effacement ou destruction;

3. Comment collectons-nous vos données ?

a. Données personnelles transmises directement par la personne concernée

Nous traitons les données personnelles que vous nous transmettez personnellement ou par un mandataire, ou que vous transmettez à nos partenaires que nous avons mandatés.

Cela peut se faire :

  • par téléphone (par exemple, lorsque vous téléphonez au service clientèle pour poser une question ou pour signaler une panne),
  • par écrit (par exemple, lorsque vous nous envoyez un courrier ou lorsque vous signez un document),
  • par voie électronique (par exemple, quand vous nous envoyez un e-mail, quand vous vous inscrivez à un concours ou quand vous téléchargez une application),
  • par votre présence dans l’une de nos réceptions.  

b. Données personnelles recueillies par des moyens automatisés

Nous recueillons des données personnelles par des échanges via des systèmes informatiques.

Nous échangeons des informations :

  • dans le cadre de l’organisation des marchés de l’énergie, principalement avec le fournisseur d’énergie de votre choix,
  • avec les organismes financiers dans le cadre des paiements de vos factures.

Nous récoltons des données provenant des installations techniques du réseau à des fins de gestion de celui-ci, en rapport avec les services ou offres demandés ou dans le cadre de nos obligations.

4. Les données personnelles que nous recueillons

Dans le but d’assurer des services et offres de qualité, nous récoltons les données minimales nécessaires à leur mise en œuvre.

Toutes ces données sont récoltées dans le respect des lois ou dans le but de répondre au mieux à nos engagements.

Les données que nous recueillons peuvent inclure les éléments suivants :

Nom et données de contact : Nous recueillons votre prénom et votre nom de famille, votre adresse de messagerie, votre adresse postale, votre numéro de téléphone fixe ou mobile, la langue dans laquelle vous communiquez et d’autres données de contact similaires.

Identifiants : Dans des cas très spécifiques (Marchés publics, …), nous recueillons les mots de passe, et des informations de sécurité similaires utilisées pour votre authentification et l’accès à votre compte.

Données financières : Nous recueillons les données nécessaires au traitement de vos paiements notamment via les mandats SEPA.

Données contractuelles : Nous recueillons les données nécessaires à la conclusion et à la bonne exécution du contrat (commandes).

Données de consommation d’un client : Dans le cadre de l’utilisation du réseau, nous collectons les consommations d’un client par ¼ d’heure (électricité) / par heure (gaz) ou les consommations annuelles. A des fins de prévision pour la gestion du réseau, nous collectons également votre type standard de profil de consommation.

Données techniques : Nous recueillons les données techniques qui concernent les caractéristiques d’installations techniques et qui servent aussi bien à la gestion des installations elles-mêmes qu’à la gestion du réseau ainsi qu’à la définition et au contrôle des conditions tarifaires d’un contrat.

5. Quel usage des données faisons-nous ?

Nous utilisons les données pour l’exécution de nos missions de service public conformément aux lois modifiées du 1er août 2007 relatives à l’organisation des marchés de l’électricité et du gaz naturel, et pour la délivrance des services et offres que nous vous proposons.

Dans le cadre défini ci-avant, les données peuvent être transmises à des tiers.

Par exemple, vous emménagez dans un appartement et vous signez un contrat de fourniture avec le fournisseur de votre choix. Conformément à la loi modifiée du 1er août 2007 relative à l’organisation du marché de l’électricité, vous signez par la même occasion un contrat d’utilisation avec Creos : c’est ce que la loi appelle la "fourniture intégrée". Dans ce cadre, votre nom et vos données de contact seront transmises par le fournisseur de votre choix à Creos. Ces données pourront être utilisées :

  • pour vous prévenir en cas de coupure du réseau (traitement justifié par une obligation de service public du gestionnaire de réseau prévue par la loi précitée),
  • pour la facturation du service d’utilisation du réseau de distribution Creos au fournisseur que vous avez choisi.

Les données peuvent également être transmises à des organismes officiels de statistiques ou de contrôle en application d’une législation nationale ou européenne.

Nous portons une attention particulière au respect des principes du Règlement Général sur la Protection des Données (ci-après RGPD) par nos sous-traitants, qui peuvent être amenés à traiter des données personnelles, par une sélection de ces sous-traitants sur base de critères à respecter, par des clauses contractuelles et par un suivi du respect de ces règles.

Nous veillons également à ce que vos données soient stockées dans des pays qui respectent le RGPD et qui sont reconnus conformes par la Commission Européenne.

6. Nos traitements en détails :

A. Les traitements de données personnelles dont Creos est le responsable de traitement

1) Maintenance et construction des réseaux

Intérêt légitime

  • Lois modifiées du 1er août 2007 relative à l’organisation des marchés de l’électricité et du gaz naturel
  • RGPD Article 6, 1.c et e

Les destinataires possibles des données personnelles

  • Sous-traitants Creos
  • Autorités Luxembourgeoises (1)
  • Autres tiers (2) (en Europe)

Durée de conservation des données personnelles

30 ans et 12 ans pour les données financières

Type de données personnelles traitées

  • Nom et données de contact
  • Données financières
  • Données techniques
2) Gestion des raccordements

Intérêt légitime

  • Lois modifiées du 1er août 2007 relative à l’organisation des marchés de l’électricité et du gaz naturel
  • RGPD Article 6, 1.b, c et e

Les destinataires possibles des données personnelles

  • Sous-traitants Creos
  • Autorités Luxembourgeoises (1)
  • Autres tiers (2) (en Europe)

Durée de conservation des données personnelles

30 ans et 12 ans pour les données financières

Type de données personnelles traitées

  • Nom et données de contact
  • Données financières
  • Données de consommation d'un client
  • Données techniques
3) Gestion des installations de comptage

Intérêt légitime

  • Lois modifiées du 1er août 2007 relative à l’organisation des marchés de l’électricité et du gaz naturel
  • RGPD Article 6, 1.b, c et e

Les destinataires possibles des données personnelles

  • Sous-traitants Creos
  • Autorités Luxembourgeoises (1)
  • Autres tiers (2) (en Europe)

Durée de conservation des données personnelles

15 ans et 12 ans pour les données financières

Type de données personnelles traitées

  • Nom et données de contact
  • Données financières
  • Données de consommation d'un client
  • Données techniques
4) Gestion de l’utilisation du réseau

Intérêt légitime

  • Lois modifiées du 1er août 2007 relative à l’organisation des marchés de l’électricité et du gaz naturel
  • RGPD Article 6 b, c et e

Les destinataires possibles des données personnelles

  • Sous-traitants Creos
  • Autorités Luxembourgeoises (1)
  • Autres tiers (2) (en Europe)

Durée de conservation des données personnelles

30 ans et 12 ans pour les données financières

Type de données personnelles traitées

  • Nom et données de contact
  • Données financières
  • Données de consommation d'un client
  • Données techniques
5) Gestion des prestations pour tiers (non régulé)

Intérêt légitime

  • Délivrance des prestations contractuelles
  • RGPD Article 6, 1.b

Les destinataires possibles des données personnelles

Sous-traitants Creos

Durée de conservation des données personnelles

12 ans

Type de données personnelles traitées

  • Nom et données de contact
  • Données financières
  • Données techniques
6) Gestion des litiges en relation avec notre patrimoine

Intérêt légitime

RGPD Article 6, 1.c

Les destinataires possibles des données personnelles

  • Sous-traitants Creos
  • Autorités Luxembourgeoises (1)
  • Autres tiers (2) (en Europe)

Durée de conservation des données personnelles

Varie de 30 à 12 ans selon le type de litige

Type de données personnelles traitées

  • Nom et données de contact
  • Données financières
  • Données de consommation d'un client
  • Données techniques
7) Gestion de la relation client

Finalité

Traiter les demandes d'information, d'accès aux données, les réclamations,...

Intérêt légitime

  • Réponse aux demandes du client
  • RGPD Article 6, 1.b et c

Les destinataires possibles des données personnelles

  • Sous-traitants Creos
  • Autorités Luxembourgeoises (1)
  • Autres tiers (2) (en Europe)

Durée de conservation des données personnelles

Varie de 30 à 12 ans selon le type de traitement concerné

Type de données personnelles traitées

  • Nom et données de contact
  • Données financières
  • Données de consommation d'un client
  • Données techniques


(1) Autorités luxembourgeoises : Ministères, Institut Luxembourgeois de Régulation (ILR),  Administration du cadastre, Administrations communales, etc.
(2) Autres tiers : notaires, avocats, réviseurs d’entreprise, installateurs, fournisseurs d’énergie, Luxmetering, architectes, bureaux d’études, promoteurs, Chambre des métiers, etc

B. Les traitements par type de relation entre une personne et Creos

Selon les relations que nous avons avec nos clients/partenaires, les traitements des données personnelles peuvent varier.

En tant qu’utilisateur du réseau (consommateur) :

  • Nous utilisons vos données dans le cadre de la maintenance (dépannage) et construction du réseau pour entrer en contact avec vous en cas d’impact des travaux sur vos installations (1) ;
  • Nous utilisons vos données dans le cadre de la gestion des installations de comptage pour entrer en contact avec vous en cas d’impact des travaux sur vos installations comme le remplacement des compteurs (3) ;
  • Nous gérons et utilisons vos données pour la facturation de l’utilisation du réseau (via votre fournisseur en cas de fourniture intégrée) (4).

En tant que contractant dans le cadre d’un raccordement (preneur de raccordement), nous gérons et utilisons vos données pour la rédaction et le suivi ainsi que pour la facturation (2), (1).

En tant que propriétaire d’une installation gérée par le gestionnaire de réseau (GRD) :

  • Nous gérons et utilisons vos données pour la rédaction de l’offre, le suivi et la facturation des prestations pour tiers (régulées) (1), (2), (3) ;
  • Nous utilisons vos données pour la facturation des travaux de maintenance et de construction du réseau en relation avec l’installation dans le cadre des obligations de service public du GRD (1).

En tant que client pour des offres non couvertes par le service public (offre non régulée), nous gérons et utilisons vos données pour la rédaction, le suivi et la facturation des offres/commandes et l’exécution des prestations (5).

En tant que mandataire d’un client (électricien,…), nous gérons vos données afin de maintenir à jour la base de données des mandats dans le cadre d’un raccordement, d’un projet de construction d’installations,… et vous permettre d’agir dans le cadre de votre mandat (1), (2), (3), (5), (7).

En tant qu’électricien/installateur gaz, nous gérons vos données à des fins de contact dans le cadre de nos différents traitements ainsi que comme personne responsable (signataire) de la bonne exécution de travaux (2), (3), (5).

En tant que professionnel du bâtiment, nous gérons vos données à des fins de contact dans un but de coordination ou d’information dans le cade de la réalisation de travaux (1), (2), (5).

En tant que personne de contact pour une société, nous enregistrons les données que nous recevons afin d’améliorer notre communication avec nos partenaires quels que soient les traitements concernés.

En tant que personne (client ou non), nous enregistrons vos données uniquement dans le but de répondre à votre demande (7) (demande d’information, annonce d’un problème,…) ou dans le cadre de la gestion d’un litige (6).

7. Comment assurons-nous la sécurité de vos données ?

Nous faisons tout pour protéger vos données à caractère personnel et leur confidentialité, tant sur notre réseau informatique, nos réseaux de gaz naturel et d’électricité, dans nos bureaux ainsi que dans nos centres régionaux.

Nos collaborateurs ont été spécifiquement formés pour gérer les données confidentielles, y compris vos données, de la manière la plus adéquate possible.

Dans le cadre de chaque projet visant un traitement des données personnelles, nous effectuons d'abord une évaluation des risques et des besoins de sécurité, en préservant, avant tout, vos intérêts. Notre politique, nos exigences et nos normes de gestion en matière de protection des informations reposent notamment sur les normes internationales ISO 27000.

Des spécialistes garantissent que le niveau de sécurité de notre réseau informatique, de nos infrastructures et de nos systèmes d’information, correspond à des exigences élevées en la matière.

En outre, nous appliquons toutes les mesures techniques nécessaires pour protéger vos données personnelles contre un accès ou une utilisation illicite, ainsi que contre leur perte ou vol. Si malgré les multiples mesures de protection en place, une perte ou vol de vos données à caractère personnel devait se produire, vous seriez personnellement averti en tant que client dans les circonstances prévues par la loi.

8. Vendons-nous vos données à des tiers ou transmettons-nous vos données ?

Nous ne vendons pas vos données à des tiers.

Nous ne partageons pas les données de vos cartes de crédit ou d'autres informations financières à des fins de marketing.

Nous pouvons fournir vos informations personnelles à des tiers pour traiter ces informations à des fins légitimes. Dans ce cas, nous exigeons que ces tiers acceptent de traiter ces informations en fonction de nos instructions et exigences.

9. Quels sont les droits dont vous disposez ?

Le règlement relatif à la protection des données octroie certains droits aux utilisateurs ou personnes concernées. Ces droits sont :

a. Le droit d'être informé - Les responsables de traitement doivent être totalement transparents dans la façon dont ils utilisent les données personnelles.

b. Le droit d'accès - Les individus auront le droit de savoir exactement quelles informations sont détenues à leur sujet et comment elles sont traitées.

c. Le droit de rectification - Les particuliers auront le droit de rectifier les données personnelles si elles sont inexactes ou incomplètes.

d. Le droit d'effacement - Également connu sous le nom de "droit à l'oubli", il désigne le droit d'un individu à faire supprimer ou supprimer ses données personnelles sans avoir besoin d'une raison spécifique expliquant pourquoi il souhaite les effacer.

e. Le droit de restreindre le traitement - Fait référence au droit d'un individu de bloquer ou de supprimer le traitement de ses données personnelles.

f. Le droit à la portabilité des données - Cela permet aux individus de conserver et de réutiliser leurs données personnelles pour leur propre usage.

g. Le droit d'opposition - Dans certaines circonstances, les personnes ont le droit de s'opposer à ce que leurs données personnelles soient utilisées. Cela inclut, si une entreprise utilise des données personnelles à des fins de marketing direct, de recherche scientifique et historique, ou pour l'exécution d'une tâche dans l'intérêt public.

h. Droits de la prise de décision automatisée et du profilage - Le RGPD a mis en place des sauvegardes pour protéger les individus contre le risque qu'une décision potentiellement préjudiciable soit prise sans intervention humaine. Par exemple, les individus peuvent choisir de ne pas faire l'objet d'une décision lorsque la conséquence a une incidence légale sur eux, ou est basée sur un traitement automatisé.

10. Quelles sont vos personnes de contact auprès de Creos pour vos données personnelles ?

Vous pouvez contacter notre service clients pour toute demande :

Tél.: 2624-2624
e-mail: info@creos.net

Le responsable de la protection des données de Creos, Monsieur Bernard Motro, peut être joint sous l’adresse email dpo@creos.net. Celui-ci se chargera de votre demande dans les meilleurs délais.

Pour les plaintes relatives au traitement de vos données à caractère personnel, vous pouvez vous adresser à l'Autorité de protection des données du Luxembourg :

Commission Nationale pour la Protection des Données (CNPD)
15, boulevard du Jazz
L-4370 Esch-sur-Alzette
Tél.: 2610 60 1
Fax: 2610 60 29
e-mail: info@cnpd.lu
Web: www.cnpd.lu