Notice d’information générale pour Smarty +
1. Définition des responsables de traitement
La présente notice s’applique aux services et offres proposés via l’application Smarty + (ci-après « l’application ») dont
- les gestionnaires de réseau (GRD) du Luxembourg sont les responsables de traitement pour les points de fourniture qui sont dans leur périmètre de responsabilité, comme spécifié dans votre contrat d’utilisation réseau ou votre contrat de fourniture intégré. Ils définissent les traitements en relation avec Smarty + (données de comptage, données des comptes clients).
- la société Nexxtlab est co-responsable de traitement et elle gère les infrastructures techniques (sécurité, back-up, …) tant pour la plateforme informatique Smarty + que pour les dongles Smarty + et l’application mis à disposition des clients
ci-après appelés « les responsables de traitements ».
Les responsables de traitement accordent la plus grande importance au respect des droits des personnes dans le cadre du traitement des données personnelles (ci-après « les données »). Cette notice explique quelles sont les données personnelles collectées dans le cadre des traitements relatifs à l’application, l’usage qui en est fait et les moyens qui sont mis en œuvre pour en garantir la sécurité (intégrité, confidentialité et disponibilité). Elle vise également à vous informer de vos droits et des moyens de les exercer auprès des responsables de traitement listés ci-après :
Les GRD:
- Creos Luxembourg S.A.
- HOFFMANN FRÈRES Energie et Bois S.à r.l.
- SUDSTROUM S.à r.l. et Co S.e.c.s.
- L’administration communale de la ville de Diekirch
- L’administration communale de la ville d’Ettelbruck
Nexxtlab S.A.
Pour toute question relative au traitement des données dans le cadre d’un service proposé par un prestataire de service, vous devez le contacter directement sur base des données de contact fournies pour ce service dans l’application.
2. Nouvelle régulation sur la protection des données personnelles (GDPR-General Data Protection Regulation) : c’est quoi ?
Depuis le 15 mai 2018, le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, ci-après nommé « RGPD », est d’application dans tous les pays membres de l’Union Européenne.
Le règlement précité vise à accorder aux citoyens européens plus de contrôle sur leurs données personnelles, à responsabiliser d’avantage les entreprises et à renforcer le rôle des autorités locales de protection des données (CNPD – Commission Nationale pour la Protection des Données) au Luxembourg.
3. A qui s’adresse cette notice ?
Le RGPD s’applique aux traitements de données personnelles des personnes physiques vivantes. Il s’agit dans ce cas des utilisateurs de l’application.
Toute personne dont les données personnelles sont collectées et traitées dans cette application peut trouver des informations complémentaires sur ces traitements dans la présente notice.
Qu’entend-t-on par « données personnelles » et « traitement » ?
« Données personnelles » (Données à caractère personnelles) :
- Toute information relative à une personne physique identifiée ou identifiable (« personne concernée ») ;
- Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique ;
« Traitement »,
- Toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, que ce soit par collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, récupération, consultation, utilisation, divulgation par transmission, diffusion ou autrement mise à disposition, alignement ou combinaison, restriction, effacement ou destruction ;
4. Comment collectons-nous vos données ?
a. Données personnelles transmises directement par la personne concernée
Nous traitons les données personnelles
- que vous nous transmettez personnellement via l’application (par exemple, données de contact, acceptation contrat, …)
- que vous nous transmettez lors d’un contact avec la hotline. Cela peut se faire :
– par téléphone (par exemple, lorsque vous téléphonez à la hotline pour poser une question),
– par voie électronique (par exemple, quand vous nous envoyez un e-mail),
– par votre présence dans l’une des réceptions des GRD.
b. Données personnelles recueillies par des moyens automatisés
Nous recueillons des données personnelles par des échanges via des systèmes informatiques. Les données de consommation ou de production enregistrées toutes les 10 secondes sont collectées via le dongle (boîtier) Smarty + branché au port P1 du compteur. Une liste exhaustive des données transmises (codes OBIS) peut être consultée sur www.luxmetering.lu (Smart Meter P1 port specification p. 15f).
5. Les données personnelles que nous recueillons
Dans le but d’assurer des services et offres de qualité, les données minimales nécessaires à leur mise en œuvre sont récoltées.
Toutes ces données sont récoltées dans le respect des lois ou dans le but de répondre au mieux à nos engagements.
Les données que nous recueillons peuvent inclure les éléments suivants :
Nom et données de contact : Nous recueillons votre prénom et votre nom de famille, votre adresse de messagerie, l’adresse de livraison, numéro de téléphone, la langue dans laquelle vous communiquez.
Identifiants : Dans des cas très spécifiques, nous recueillons des mots de passe ou des informations de sécurité similaires (clé P1 d’accès au compteur ou mot de passe pour l’accès à votre WIFI).
Données contractuelles/consentement : Nous recueillons les données nécessaires à la conclusion et à la bonne exécution des contrats conclus via l’application (conditions générales, acceptation du transfert vers un service provider).
Données de consommation : Nous collectons les données (voir codes OBIS) de consommation/production enregistrées toutes les 10 secondes et les index enregistrés toutes les 15 minutes.
Données techniques : Nous recueillons les données techniques qui concernent les caractéristiques d’installations techniques et qui servent à la collecte de données via le boitier Smarty + (numéro de série du compteur et du dongle, les messages d’erreurs, …).
6. Quel usage des données faisons-nous ?
Les données collectées sont utilisées pour :
– La mise à votre disposition sous forme de graphiques des données de consommation et de production ;
– Le transfert des données nécessaires à la réalisation de services proposés par des prestataires (uniquement sur la base d’un consentement de votre part). Le gestionnaire de réseau peut lui aussi offrir des services pour lesquels vous devez également consentir au transfert des données.
Nous portons une attention particulière au respect du RGPD par nos sous-traitants qui peuvent être amenés à traiter des données personnelles, par une sélection de ces derniers sur base de critères à respecter, par des clauses contractuelles et par un suivi du respect de ces règles.
Nous veillons également à ce que vos données soient stockées dans des pays de l’Union européenne ou qui sont reconnus comme se conformant aux exigences du RGPD par la Commission européenne.
7. Les traitements en détails
A. Les traitements de données personnelles par les responsables de traitement classés par finalités :
1) Gestion d’un compte utilisateur (création/suppression/modification des données de contact)
Licéité | Délivrance des prestations contractuelles RGPD Article 6, 1.b |
Les destinataires possibles des données personnelles | Le gestionnaire de réseau concerné avec ses sous-traitants |
Durée de conservation des données personnelles | Jusqu’à la supression du compte par l’utilisateur et 10 ans après le dernier consentement (selon le code de commerce, Article 189) |
Type de données personnelles traitées/collectées | Adresse e-mail, acceptation des conditions générales, nom de compte, image compte |
2) Gestion d’un dongle dans l’application (activation/désactivation/suppression d’un dongle, renommer le dongle, collecte du niveau de qualité du WIFI)
Licéité | Délivrance des prestations contractuelles RGPD Article 6, 1.b |
Les destinataires possibles des données personnelles | Le gestionnaire de réseau concerné via son sous-traitant |
Durée de conservation des données personnelles | Le lien entre le numéro de série du dongle et les consentements est conservé 10 ans après le dernier consentement (selon le code de commerce, Article 189).La clé P1 est transférée au dongle et supprimée immédiatement de la base de données. Elle est stockée sur le dongle pour déchiffrer les données du port P1 du Smarty jusqu’au reset du dongle.
Le code Wifi est transféré directement sur le dongle sans sauvegarde sur la plateforme, pour garantir une connexion à l’internet. Il est sauvegardé jusqu’au reset du dongle. RSSI (Received Signal Strength Indication : puissance du signal de réception entre le dongle et le routeur) : 30 jours pour garantir un bon support client. |
Type de données personnelles traitées/collectées | Numéro de série du dongle, nom du dongle, lien avec adresse e-mail du compte, date/heure de l’activation/la désactivation, clé P1 du compteur Smarty, code WIFI, protocole WIFI, RSSI, qualité de la connexion WIFI (mauvaise qualité génère des trous dans la lecture, pas possible de les corriger) par minute. |
3) Gestion des données du port P1 (y inclus upload, consultation par le client et destruction)
Licéité | Délivrance des prestations contractuelles RGPD Article 6, 1.b |
Les destinataires possibles des données personnelles | Le gestionnaire de réseau concerné via son sous-traitant |
Durée de conservation des données personnelles | 7 jours après lecture pour les données 10’’ (pour le graphique « Now »)
2 mois pour un indice énergétique par heure (pour le graphique « Day ») 4 ans pour un indice énergétique par jour, semaine, mois et année (pour les graphiques « Week », « Month » et « Year ») |
Type de données personnelles traitées/collectées | Données du port P1 (voir codes OBIS) |
4) Gestion du consentement pour un transfert des données de comptage à un tiers (signature, retrait et consultation du consentement)
Licéité | Consentement RGPD Article 6, 1.a |
Les destinataires possibles des données personnelles | Le gestionnaire de réseau concerné via son sous-traitant |
Durée de conservation des données personnelles | 10 ans après retrait du consentement (selon le code de commerce, Article 189) |
Type de données personnelles traitées/collectées | Statut du consentement (actif/retiré) et historique des activations/désactivations |
5) Transfert des données du port P1 à un tiers, contrôle des consentements inclus
Licéité | Consentement RGPD Article 6, 1.a |
Les destinataires possibles des données personnelles | Des tiers ayant un contrat avec les GRD et selon consentement |
Durée de conservation des données personnelles | 12 mois pour les logs de l’historique des transferts pour assurer un suivi en cas de question. Le contenu n’est pas conservé. |
Type de données personnelles traitées/collectées | Données du port P1 (voir codes OBIS)Logs des historiques des transferts effectués (codes OBIS non inclus) |
6) Gestion de la plateforme
Licéité | Délivrance des prestations contractuelles RGPD Article 6, 1.b |
Les destinataires possibles des données personnelles | Nexxtlab, Combell, Powerdale |
Durée de conservation des données personnelles | Les logs de connexion sont conservés 12 mois après la dernière connexion d’un utilisateur au front-end de la plateforme (p.ex. GRD) pour assurer un suivi en cas de question. |
Type de données personnelles traitées/collectées | Log de connexion des utilisateurs au front-end sur la plateforme.Toutes les données gérées dans la plateforme pour faire des statistiques, mais les données sur les dongles et leurs utilisateurs ne sont pas stockées pendant cette durée. |
7) Gestion des statistiques sur la plateforme (exemples de statistiques : nombre de dongles actifs, pourcentage de dongles sur un compteur de production ou de consommation, pourcentage de dongles avec compteur eau ou gaz activé, …)
Licéité | RGPD Article 6, 1. c |
Les destinataires possibles des données personnelles | Le gestionnaire de réseau concerné, le sous-traitant et les prestataires de service |
Durée de conservation des données personnelles | 365 jours pour les statistiques anonymes |
Type de données personnelles traitées/collectées | Toutes, mais les statistiques produites et transférées sont anonymes. |
8) Gestion de la relation client, traitement des demandes d’accès aux données
Licéité | Délivrance des prestations contractuelles RGPD Article 6, 1.c pour les obligations légales (GDPR) |
Les destinataires possibles des données personnelles | Le propriétaire des données |
Durée de conservation des données personnelles | 1 semaine pour le contenu des messages envoyés aux client (après une semaine le contenu du lien pour le téléchargement est supprimé)12 mois pour historique des échanges (chez Nexxtlab) pour assurer un suivi en cas de question. |
Type de données personnelles traitées/collectées | Toutes les données de la plateforme (du port P1). Historique des messages échangés. |
9) Gestion des demandes d’information et réclamations
Licéité | Délivrance des prestations contractuelles RGPD Article 6, 1.b |
Les destinataires possibles des données personnelles | Le propriétaire des données |
Durée de conservation des données personnelles | 5 ans pour les demandes d’information et de support chez Nexxtlab (selon le code de commerce, Article 189)5 ans pour les demandes d’information chez le support client de Creos (selon le code de commerce, Article 189)
10 ans pour les demandes d’information chez le support client de ACL. |
Type de données personnelles traitées/collectées | Données de qualité wifi, données du dongle, les comptes utilisateur, données de contact du client dans CRM, données obtenues due à un appel au call center de l’ACL. |
B. Les traitements de données personnelles par les prestataires de service :
Les prestataires de service sont seuls responsables du traitement des données téléchargées de la base de données Smarty + dans le cadre du consentement donné par le client.
Les données téléchargées chez le prestataire de service ne sont pas supprimées automatiquement lors de la suppression du compte Smarty + ou de l’exercice de vos droits (suppression des données, retrait du consentement, …).
8. Comment assurons-nous la sécurité de vos données ?
Nous faisons tout pour protéger vos données à caractère personnel et leur confidentialité, tant sur notre réseau informatique que sur celui de nos sous-traitants ainsi que lors du transfert des données entre le compteur Smarty et nos systèmes informatiques.
Nos collaborateurs sont spécifiquement formés pour gérer les données confidentielles, y compris vos données, de la manière la plus adéquate possible.
Dans le cadre de chaque projet visant un traitement des données personnelles, nous effectuons d’abord une évaluation des risques et des besoins de sécurité, en préservant, avant tout, vos intérêts. Notre politique, nos exigences et nos normes de gestion en matière de protection des informations reposent notamment sur les normes internationales ISO27001 et ISO9001.
Des spécialistes garantissent que le niveau de sécurité de notre réseau informatique, de nos infrastructures et de nos systèmes d’information, correspond à des exigences élevées en la matière.
En outre, nous appliquons toutes les mesures techniques nécessaires pour protéger vos données personnelles contre un accès ou une utilisation illicite, ainsi que contre leur perte ou vol. Si malgré les multiples mesures de protection en place, une fuite de vos données à caractère personnel devait se produire, vous seriez personnellement averti en tant que client dans les circonstances prévues par la loi.
9. Transmettons-nous vos données à des tierces parties ?
Nous transférons sur base de votre consentement vos données de comptage aux prestataires de service que vous avez désignés.
Nous pouvons fournir vos informations personnelles à des sous-traitants pour traiter ces informations en notre nom. Nous exigeons que ces parties acceptent de traiter ces informations en fonction de nos instructions et exigences.
10. Quels sont les droits dont vous disposez ?
La loi relative à la protection des données octroie certains droits aux utilisateurs ou personnes concernées. Ces droits sont :
-
- Le droit d’être informé – Les organisations doivent être totalement transparentes dans la façon dont elles utilisent les données personnelles.
- Le droit d’accès – Les individus auront le droit de savoir exactement quelles informations sont détenues à leur sujet et comment elles sont traitées.
- Le droit de rectification – Les particuliers auront le droit de rectifier les données personnelles si elles sont inexactes ou incomplètes.
- Le droit d’effacer – Également connu sous le nom de « droit à l’oubli », il désigne le droit d’un individu à faire supprimer ou supprimer ses données personnelles sans avoir besoin d’une raison spécifique expliquant pourquoi il souhaite les effacer, à moins que les données personnelles soient encore nécessaires au regard des finalités pour lesquelles elles ont été collectées,
- Le droit de restreindre le traitement – Fait référence au droit d’un individu de bloquer ou de supprimer le traitement de ses données personnelles.
- Le droit à la portabilité des données – Cela permet aux individus de conserver et de réutiliser leurs données personnelles pour leur propre usage.
- Le droit d’opposition – Dans certaines circonstances, les personnes ont le droit de s’opposer à ce que leurs données personnelles soient utilisées. Cela inclut, si une entreprise utilise des données personnelles à des fins de marketing direct, de recherche scientifique et historique, ou pour l’exécution d’une tâche dans l’intérêt public.
- Droits de la prise de décision automatisée et du profilage – Le GDPR a mis en place des sauvegardes pour protéger les individus contre le risque qu’une décision potentiellement préjudiciable soit prise sans intervention humaine. Par exemple, les individus peuvent choisir de ne pas faire l’objet d’une décision lorsque la conséquence a une incidence légale sur eux, ou est basée sur un traitement automatisé
11. Quelles sont vos personnes de contact pour vos données personnelles ?
Vous pouvez demander vos données personnelles directement via l’application. Pour avoir des informations relatives au traitement des données personnelles ou en cas de réclamation, vous pouvez contacter le responsable de traitement concerné :
Creos Luxembourg S.A.
Vous pouvez contacter le service client Creos pour toute demande :
T : 2624-2624
M : info@creos.net
Vous pouvez également contacter le délégué à la protection des données directement à l’adresse : dpo@creos.net
HOFFMANN FRÈRES Energie et Bois S.à r.l.
Vous pouvez contacter Hoffmann Frères Energie et Bois S.à r.l. pour toute demande :
M : info@electris.lu ou rgpd@electris.lu
Ansprechpartner: Pete Hoffmann und Martin Wienands (Gérants)
25, rue G.-D. Charlotte
L – 7520 Mersch
SUDSTROUM S.à r.l. et Co S.e.c.s.
Vous pouvez contacter le service client Sudstroum pour toute demande :
T : 26 783 787 686
M : backoffice@sudstroum.lu
Vous pouvez également contacter le délégué à la protection des données directement à l’adresse : dpo@sudstroum.lu
L’administration communale de la ville de Diekirch
Vous pouvez contacter les Services Industriels de la Ville de Diekirch pour toute demande :
T : 808780-501
M : smarty@diekirch.lu
L’administration communale de la ville d’Ettelbruck
Vous pouvez contacter l’administration communale de la ville d’Ettelbruck pour toute demande :
118, rue de Warken
L-9088 Ettelbruck
T : +352 81 91 81 – 238
F : +352 81 91 81 – 225
M : sive@ettelbruck.lu
Pour toute question concernant le traitement de vos données par l’infrastructure technique (plateforme et application), vous pouvez vous adresser immédiatement à Nexxtlab :
Nexxtlab S.A.
Quelles sont les procédures d’escalation ?
Pour les plaintes relatives au traitement de vos données à caractère personnel, vous pouvez vous adresser à l’Autorité de protection des données du Luxembourg,
Commission Nationale pour la Protection des Données (CNPD)
15, boulevard du Jazz
L-4370 Esch-sur-Alzette
T : +352 2610 60 1
F : +352 2610 60 29
M : info@cnpd.lu
Website: http://www.cnpd.lu/