Présentation

Le Groupe Inovalis-Advenis (ci-après « le Groupe ») informe toute personne concernée ou tout responsable de traitement concerné de la politique de conformité des traitements de données personnelles qu’il applique dans le cadre de ses activités.

Le Groupe Inovalis-Advenis s’engage, à faire ses meilleurs efforts afin d’assurer la protection, la confidentialité et la sécurité des données à caractère personnel qu’il collecte ou le cas échéant dont il n’effectue qu’un traitement, dans le cadre des obligations prévues par le règlement européen relatif à la protection des données personnelles dit « RGPD ».

Le contenu de la présente politique de conformité constitue une information générale sans préjudice de conditions, engagements ou mise en œuvre de moyens spécifiques à certaines entités du groupe et présentées dans les conditions générales d’utilisation accessibles sur les sites internet des entités concernées (ou sur demande au Délégué à la Protection des Données adressée par courrier à l’adresse de la société concernée ou par Email à l’adresse dpoadvenis@advenis.com).

Principaux traitements de données personnelles et finalités

Les données personnelles traitées par les entités du Groupe sont celles collectées dans le cadre des relations d’affaires qu’elles établissent (clients, investisseurs, mandants, locataires…), collectées à des fins de prospection le cas échéant à l’initiative des personnes concernées (formulaires web de contacts, appels du centre de relation clients…) ou pour répondre à leurs besoins de fonctionnement et de développement (prestataires, recrutement…).

Les traitements de ces données peuvent ainsi répondre à différentes finalités donnant lieu ou non à collecte du consentement des personnes concernées. Dans tous les cas ces personnes font l’objet de l’information réglementaire requise et notamment des modalités d’exercice de leurs droits.

Sont licites même sans consentement des personnes concernées les traitements fondés sur l’exécution d’une obligation légale ou réglementaire (notamment et de façon non limitative : règles applicables à la gestion de placement collectif, au conseil en investissement financier, aux activités entrant dans le champ d’application de loi Hoguet, à la lutte contre le blanchiment et le financement du terrorisme, à la lutte contre l’évasion fiscale…), contractuelle ou la poursuite d’un intérêt légitime (conformément au RGPD la prospection constitue la poursuite d’un intérêt légitime).

Les données dont les traitements n’entrent pas dans les catégories ci-dessus font l’objet d’une collecte préalable du consentement des personnes concernées. En cas de demande d’opposition ou d’effacement elles cessent de faire l’objet du traitement en cause et/ou sont supprimées .Celles qui ne font pas l’objet d’un traitement dans un délai de trois ans sont supprimées.

Conditions d’exercice de leurs droits par les personnes concernées

Chaque Responsables de Traitement au sein du Groupe informe les personnes concernées en particulier des éléments suivants :

– l’identité et les coordonnées du responsable du traitement ;

– les coordonnées du délégué à la protection des données ;

– les finalités du traitement ;

– les intérêts légitimes poursuivis par le responsable du traitement ;

– les destinataires ou les catégories de destinataires des données à caractère personnel ;

– la durée de conservation des données à caractère personnel ;

– l’existence du droit d’accès aux données à caractère personnel, de rectification ou d’effacement, de retrait, de limitation, du droit d’opposition ou enfin du droit à la portabilité ;

– le droit d’introduire une réclamation auprès d’une autorité de contrôle ;

– le cas échéant existence d’une exigence réglementaire ou contractuelle à la collecte de données ou poursuite d’un intérêt légitime dérogeant à l’obligation de collecte du consentement.

L’exercice de ces droits se fait en adressant la demande au Délégué à la Protection des Données de l’entité responsable du traitement ou à l’adresse concernée suivante : dpoinovalis@inovalis.com ou dpoadvenis@advenis.com.

Dispositif de maîtrise des traitements et des risques associés

Les données personnelles collectées sont enregistrées sur des serveurs situés en France et dont les applications sont hébergées à distance.
Les process de conformité RGPD du groupe prévoient que chaque étape de contrôle est documentée afin de justifier de la démarche, des moyens utilisés et de la robustesse des solutions mises en œuvre.

Quant aux entités dont les données personnelles présentent un risque spécifique, elles mettent en oeuvre les outils d’analyse d’impact.

Concernant les éventuels sous-traitants sélectionnés pour mener des activités de traitement de données personnelles pour son compte, le Groupe requiert de ces derniers l’application des mêmes obligations en matière de protection de données personnelles que celles pesant sur lui.

Le dispositif de sécurité (règles de mot de passe, sécurité réseau antivirus et firewall, cloisonnement des répertoires et applications en fonction des entités, des services, des profils personnels ou des habilitations spéciales) intègre un plan de suivi périodique de l’activité réseau tant en interne qu’avec l’extérieur afin de détecter d’éventuels vols ou piratage de données personnelles.

En cas de défaillance avérée ou suspectée, le plan de sécurité prévoit la mise en œuvre de la procédure réglementaire d’information des personnes concernées et le cas échéant l’information de l’Autorité de contrôle.