Notice d’information générale pour Smarty +

1.     Définition des responsables de traitement

La présente notice s’applique aux services et offres proposés via l’application Smarty + (ci-après « l’application ») dont

ci-après appelés « les responsables de traitements ».

Les responsables de traitement accordent la plus grande importance au respect des droits des personnes dans le cadre du traitement des données personnelles (ci-après « les données »). Cette notice explique quelles sont les données personnelles collectées dans le cadre des traitements relatifs à l’application, l’usage qui en est fait et les moyens qui sont mis en œuvre pour en garantir la sécurité (intégrité, confidentialité et disponibilité). Elle vise également à vous informer de vos droits et des moyens de les exercer auprès des responsables de traitement listés ci-après :

Les GRD:

 

Nexxtlab S.A.

Pour toute question relative au traitement des données dans le cadre d’un service proposé par un prestataire de service, vous devez le contacter directement sur base des données de contact fournies pour ce service dans l’application.

2.     Nouvelle régulation sur la protection des données personnelles (GDPR-General Data Protection Regulation) : c’est quoi ?

Depuis le 15 mai 2018, le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, ci-après nommé « RGPD », est d’application dans tous les pays membres de l’Union Européenne.

Le règlement précité vise à accorder aux citoyens européens plus de contrôle sur leurs données personnelles, à responsabiliser d’avantage les entreprises et à renforcer le rôle des autorités locales de protection des données (CNPD – Commission Nationale pour la Protection des Données) au Luxembourg.

3.     A qui s’adresse cette notice ?

Le RGPD s’applique aux traitements de données personnelles des personnes physiques vivantes. Il s’agit dans ce cas des utilisateurs de l’application.

Toute personne dont les données personnelles sont collectées et traitées dans cette application peut trouver des informations complémentaires sur ces traitements dans la présente notice.

Qu’entend-t-on par « données personnelles » et « traitement » ?

« Données personnelles » (Données à caractère personnelles) :

 

« Traitement »,

4.     Comment collectons-nous vos données ?

a. Données personnelles transmises directement par la personne concernée

Nous traitons les données personnelles

– par téléphone (par exemple, lorsque vous téléphonez à la hotline pour poser une question),
– par voie électronique (par exemple, quand vous nous envoyez un e-mail),
– par votre présence dans l’une des réceptions des GRD.

b. Données personnelles recueillies par des moyens automatisés

Nous recueillons des données personnelles par des échanges via des systèmes informatiques. Les données de consommation ou de production enregistrées toutes les 10 secondes sont collectées via le dongle (boîtier) Smarty + branché au port P1 du compteur. Une liste exhaustive des données transmises (codes OBIS) peut être consultée sur www.luxmetering.lu (Smart Meter P1 port specification p. 15f). 

5.     Les données personnelles que nous recueillons

Dans le but d’assurer des services et offres de qualité, les données minimales nécessaires à leur mise en œuvre sont récoltées.

Toutes ces données sont récoltées dans le respect des lois ou dans le but de répondre au mieux à nos engagements.

Les données que nous recueillons peuvent inclure les éléments suivants :

Nom et données de contact : Nous recueillons votre prénom et votre nom de famille, votre adresse de messagerie, l’adresse de livraison, numéro de téléphone, la langue dans laquelle vous communiquez.

Identifiants : Dans des cas très spécifiques, nous recueillons des mots de passe ou des informations de sécurité similaires (clé P1 d’accès au compteur ou mot de passe pour l’accès à votre WIFI).

Données contractuelles/consentement : Nous recueillons les données nécessaires à la conclusion et à la bonne exécution des contrats conclus via l’application (conditions générales, acceptation du transfert vers un service provider).

Données de consommation : Nous collectons les données (voir codes OBIS) de consommation/production enregistrées toutes les 10 secondes et les index enregistrés toutes les 15 minutes.

Données techniques : Nous recueillons les données techniques qui concernent les caractéristiques d’installations techniques et qui servent à la collecte de données via le boitier Smarty + (numéro de série du compteur et du dongle, les messages d’erreurs, …).

6.     Quel usage des données faisons-nous ?

Les données collectées sont utilisées pour :

– La mise à votre disposition sous forme de graphiques des données de consommation et de production ;

– Le transfert des données nécessaires à la réalisation de services proposés par des prestataires (uniquement sur la base d’un consentement de votre part). Le gestionnaire de réseau peut lui aussi offrir des services pour lesquels vous devez également consentir au transfert des données.

Nous portons une attention particulière au respect du RGPD par nos sous-traitants qui peuvent être amenés à traiter des données personnelles, par une sélection de ces derniers sur base de critères à respecter, par des clauses contractuelles et par un suivi du respect de ces règles.

Nous veillons également à ce que vos données soient stockées dans des pays de l’Union européenne ou qui sont reconnus comme se conformant aux exigences du RGPD par la Commission européenne. 

7.     Les traitements en détails

A.     Les traitements de données personnelles par les responsables de traitement classés par finalités :

1) Gestion d’un compte utilisateur (création/suppression/modification des données de contact)
Licéité Délivrance des prestations contractuelles RGPD Article 6, 1.b
Les destinataires possibles des données personnelles Le gestionnaire de réseau concerné avec ses sous-traitants
Durée de conservation des données personnelles Jusqu’à la supression du compte par l’utilisateur et 10 ans après le dernier consentement (selon le code de commerce, Article 189)
Type de données personnelles traitées/collectées Adresse e-mail, acceptation des conditions générales, nom de compte, image compte
2) Gestion d’un dongle dans l’application (activation/désactivation/suppression d’un dongle, renommer le dongle, collecte du niveau de qualité du WIFI)
Licéité Délivrance des prestations contractuelles RGPD Article 6, 1.b
Les destinataires possibles des données personnelles Le gestionnaire de réseau concerné via son sous-traitant
Durée de conservation des données personnelles Le lien entre le numéro de série du dongle et les consentements est conservé 10 ans après le dernier consentement (selon le code de commerce, Article 189).La clé P1 est transférée au dongle et supprimée immédiatement de la base de données. Elle est stockée sur le dongle pour déchiffrer les données du port P1 du Smarty jusqu’au reset du dongle.

Le code Wifi est transféré directement sur le dongle sans sauvegarde sur la plateforme, pour garantir une connexion à l’internet. Il est sauvegardé jusqu’au reset du dongle.

RSSI (Received Signal Strength Indication : puissance du signal de réception entre le dongle et le routeur) : 30 jours pour garantir un bon support client.

Type de données personnelles traitées/collectées Numéro de série du dongle, nom du dongle, lien avec adresse e-mail du compte, date/heure de l’activation/la désactivation, clé P1 du compteur Smarty, code WIFI, protocole WIFI, RSSI, qualité de la connexion WIFI (mauvaise qualité génère des trous dans la lecture, pas possible de les corriger) par minute.
3) Gestion des données du port P1 (y inclus upload, consultation par le client et destruction)
Licéité Délivrance des prestations contractuelles RGPD Article 6, 1.b
Les destinataires possibles des données personnelles Le gestionnaire de réseau concerné via son sous-traitant
Durée de conservation des données personnelles 7 jours après lecture pour les données 10’’ (pour le graphique « Now »)

2 mois pour un indice énergétique par heure (pour le graphique « Day »)

4 ans pour un indice énergétique par jour, semaine, mois et année (pour les graphiques « Week », « Month » et « Year »)

Type de données personnelles traitées/collectées Données du port P1 (voir codes OBIS)
4) Gestion du consentement pour un transfert des données de comptage à un tiers (signature, retrait et consultation du consentement)
Licéité Consentement RGPD Article 6, 1.a
Les destinataires possibles des données personnelles Le gestionnaire de réseau concerné via son sous-traitant
Durée de conservation des données personnelles 10 ans après retrait du consentement (selon le code de commerce, Article 189)
Type de données personnelles traitées/collectées Statut du consentement (actif/retiré) et historique des activations/désactivations
5) Transfert des données du port P1 à un tiers, contrôle des consentements inclus
Licéité Consentement RGPD Article 6, 1.a
Les destinataires possibles des données personnelles Des tiers ayant un contrat avec les GRD et selon consentement
Durée de conservation des données personnelles 12 mois pour les logs de l’historique des transferts pour assurer un suivi en cas de question. Le contenu n’est pas conservé.
Type de données personnelles traitées/collectées Données du port P1 (voir codes OBIS)Logs des historiques des transferts effectués (codes OBIS non inclus)
6) Gestion de la plateforme
Licéité Délivrance des prestations contractuelles RGPD Article 6, 1.b
Les destinataires possibles des données personnelles Nexxtlab, Combell, Powerdale
Durée de conservation des données personnelles Les logs de connexion sont conservés 12 mois après la dernière connexion d’un utilisateur au front-end de la plateforme (p.ex. GRD) pour assurer un suivi en cas de question.
Type de données personnelles traitées/collectées Log de connexion des utilisateurs au front-end sur la plateforme.Toutes les données gérées dans la plateforme pour faire des statistiques, mais les données sur les dongles et leurs utilisateurs ne sont pas stockées pendant cette durée.
7) Gestion des statistiques sur la plateforme (exemples de statistiques : nombre de dongles actifs, pourcentage de dongles sur un compteur de production ou de consommation, pourcentage de dongles avec compteur eau ou gaz activé, …)
Licéité RGPD Article 6, 1. c
Les destinataires possibles des données personnelles Le gestionnaire de réseau concerné, le sous-traitant et les prestataires de service
Durée de conservation des données personnelles 365 jours pour les statistiques anonymes
Type de données personnelles traitées/collectées Toutes, mais les statistiques produites et transférées sont anonymes.
 8) Gestion de la relation client, traitement des demandes d’accès aux données 
Licéité Délivrance des prestations contractuelles RGPD Article 6, 1.c pour les obligations légales (GDPR)
Les destinataires possibles des données personnelles Le propriétaire des données
Durée de conservation des données personnelles 1 semaine pour le contenu des messages envoyés aux client (après une semaine le contenu du lien pour le téléchargement est supprimé)12 mois pour historique des échanges (chez Nexxtlab) pour assurer un suivi en cas de question.
Type de données personnelles traitées/collectées Toutes les données de la plateforme (du port P1). Historique des messages échangés.
9) Gestion des demandes d’information et réclamations
Licéité Délivrance des prestations contractuelles RGPD Article 6, 1.b
Les destinataires possibles des données personnelles Le propriétaire des données
Durée de conservation des données personnelles 5 ans pour les demandes d’information et de support chez Nexxtlab (selon le code de commerce, Article 189)5 ans pour les demandes d’information chez le support client de Creos (selon le code de commerce, Article 189)

10 ans pour les demandes d’information chez le support client de ACL.

Type de données personnelles traitées/collectées Données de qualité wifi, données du dongle, les comptes utilisateur, données de contact du client dans CRM, données obtenues due à un appel au call center de l’ACL.

B.     Les traitements de données personnelles par les prestataires de service :

Les prestataires de service sont seuls responsables du traitement des données téléchargées de la base de données Smarty + dans le cadre du consentement donné par le client.

Les données téléchargées chez le prestataire de service ne sont pas supprimées automatiquement lors de la suppression du compte Smarty + ou de l’exercice de vos droits (suppression des données, retrait du consentement, …).

8. Comment assurons-nous la sécurité de vos données ?

Nous faisons tout pour protéger vos données à caractère personnel et leur confidentialité, tant sur notre réseau informatique que sur celui de nos sous-traitants ainsi que lors du transfert des données entre le compteur Smarty et nos systèmes informatiques.

Nos collaborateurs sont spécifiquement formés pour gérer les données confidentielles, y compris vos données, de la manière la plus adéquate possible.

Dans le cadre de chaque projet visant un traitement des données personnelles, nous effectuons d’abord une évaluation des risques et des besoins de sécurité, en préservant, avant tout, vos intérêts. Notre politique, nos exigences et nos normes de gestion en matière de protection des informations reposent notamment sur les normes internationales ISO27001 et ISO9001.

Des spécialistes garantissent que le niveau de sécurité de notre réseau informatique, de nos infrastructures et de nos systèmes d’information, correspond à des exigences élevées en la matière.

En outre, nous appliquons toutes les mesures techniques nécessaires pour protéger vos données personnelles contre un accès ou une utilisation illicite, ainsi que contre leur perte ou vol. Si malgré les multiples mesures de protection en place, une fuite de vos données à caractère personnel devait se produire, vous seriez personnellement averti en tant que client dans les circonstances prévues par la loi.

9. Transmettons-nous vos données à des tierces parties ?

Nous transférons sur base de votre consentement vos données de comptage aux prestataires de service que vous avez désignés.

Nous pouvons fournir vos informations personnelles à des sous-traitants pour traiter ces informations en notre nom. Nous exigeons que ces parties acceptent de traiter ces informations en fonction de nos instructions et exigences.

10. Quels sont les droits dont vous disposez ?

La loi relative à la protection des données octroie certains droits aux utilisateurs ou personnes concernées. Ces droits sont :

    1. Le droit d’être informé – Les organisations doivent être totalement transparentes dans la façon dont elles utilisent les données personnelles.
    2. Le droit d’accès – Les individus auront le droit de savoir exactement quelles informations sont détenues à leur sujet et comment elles sont traitées.
    3. Le droit de rectification – Les particuliers auront le droit de rectifier les données personnelles si elles sont inexactes ou incomplètes.
    4. Le droit d’effacer – Également connu sous le nom de « droit à l’oubli », il désigne le droit d’un individu à faire supprimer ou supprimer ses données personnelles sans avoir besoin d’une raison spécifique expliquant pourquoi il souhaite les effacer, à moins que les données personnelles soient encore nécessaires au regard des finalités pour lesquelles elles ont été collectées,
    5. Le droit de restreindre le traitement – Fait référence au droit d’un individu de bloquer ou de supprimer le traitement de ses données personnelles.
    6. Le droit à la portabilité des données – Cela permet aux individus de conserver et de réutiliser leurs données personnelles pour leur propre usage.
    7. Le droit d’opposition – Dans certaines circonstances, les personnes ont le droit de s’opposer à ce que leurs données personnelles soient utilisées. Cela inclut, si une entreprise utilise des données personnelles à des fins de marketing direct, de recherche scientifique et historique, ou pour l’exécution d’une tâche dans l’intérêt public.
    8. Droits de la prise de décision automatisée et du profilage – Le GDPR a mis en place des sauvegardes pour protéger les individus contre le risque qu’une décision potentiellement préjudiciable soit prise sans intervention humaine. Par exemple, les individus peuvent choisir de ne pas faire l’objet d’une décision lorsque la conséquence a une incidence légale sur eux, ou est basée sur un traitement automatisé

11. Quelles sont vos personnes de contact pour vos données personnelles ?

Vous pouvez demander vos données personnelles directement via l’application. Pour avoir des informations relatives au traitement des données personnelles ou en cas de réclamation, vous pouvez contacter le responsable de traitement concerné :

Creos Luxembourg S.A. 

Vous pouvez contacter le service client Creos pour toute demande :

T : 2624-2624
M : info@creos.net

Vous pouvez également contacter le délégué à la protection des données directement à l’adresse : dpo@creos.net

HOFFMANN FRÈRES Energie et Bois S.à r.l.

Vous pouvez contacter Hoffmann Frères Energie et Bois S.à r.l. pour toute demande :

M : info@electris.lu ou rgpd@electris.lu
Ansprechpartner: Pete Hoffmann und Martin Wienands (Gérants)

25, rue G.-D. Charlotte
L – 7520 Mersch

SUDSTROUM S.à r.l. et Co S.e.c.s.

Vous pouvez contacter le service client Sudstroum pour toute demande :

T : 26 783 787 686
M : backoffice@sudstroum.lu

Vous pouvez également contacter le délégué à la protection des données directement à l’adresse : dpo@sudstroum.lu

L’administration communale de la ville de Diekirch

Vous pouvez contacter les Services Industriels de la Ville de Diekirch pour toute demande :

T : 808780-501
M : smarty@diekirch.lu

L’administration communale de la ville d’Ettelbruck

Vous pouvez contacter l’administration communale de la ville d’Ettelbruck pour toute demande :

118, rue de Warken
L-9088 Ettelbruck

T : +352 81 91 81 – 238
F : +352 81 91 81 – 225
M : sive@ettelbruck.lu

Pour toute question concernant le traitement de vos données par l’infrastructure technique (plateforme et application), vous pouvez vous adresser immédiatement à Nexxtlab :

Nexxtlab S.A.

M : support@nexxtlab.com

Quelles sont les procédures d’escalation ?

Pour les plaintes relatives au traitement de vos données à caractère personnel, vous pouvez vous adresser à l’Autorité de protection des données du Luxembourg,

Commission Nationale pour la Protection des Données (CNPD)

15, boulevard du Jazz
L-4370 Esch-sur-Alzette

T : +352 2610 60 1
F : +352 2610 60 29
M : info@cnpd.lu
Website: http://www.cnpd.lu/