Protection des Données Personnelles (RGPD)

Enerfip, dans le cadre de son activité de prestataire européen de services de financement participatif, traite les données personnelles de ses clients, investisseurs personnes physiques et dirigeants ou bénéficiaires effectifs des Porteurs de Projets.

Dans le cadre de l'entrée en vigueur le 25 mai 2018 du Règlement UE 2016/679 du Parlement européen et du conseil du 27 avril 2016 (le « Règlement Général pour la Protection des Données »), Enerfip (« le PSFP ») a souhaité clarifier sa politique interne de traitement des données à caractère personnel. Les termes utilisés dans la procédure ont le sens qui leur est donné par le Règlement Général pour la Protection des Données, et dans la Convention de prestation de service signée avec les investisseurs. Compte tenu de la nature, de la portée, du contexte et des finalités des traitements mis en oeuvre par Enerfip ainsi que des risques pour les droits et libertés des personnes physiques, Enerfip met en oeuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées lorsque nécessaire.



Traitements de données à caractère personnel mis en œuvre par Enerfip

Enerfip s'assure que les traitements de données à caractère personnel réalisés par Enerfip sont :

  • nécessaires à la réalisation de la prestation de service en financement participatif fournie par Enerfip aux Investisseurs et aux Porteurs de Projet ; ou

  • rendus obligatoires par les règles légales ou règlementaires auxquelles Enerfip est soumise; ou

  • consenties par l'acceptation de la politique de confidentialité.

Cartographie des données à caractère personnel traitées

Enerfip collecte, avec le consentement des investisseurs personnes physiques, des données à caractère personnel les concernant.

Visiteur

Enerfip collecte l'adresse IP des visiteurs de son site.

Investisseur enregistré

Enerfip recueille le prénom, le nom de famille, l'adresse e-mail et le mot de passe, des Investisseurs enregistrés.

Investisseur Approuvé

Conformément aux règlementations concernant la lutte contre le blanchiment et le financement du terrorisme, Enerfip recueille les informations d'identification des Investisseurs Approuvés. Sont ainsi collectés deux justificatifs d'identité (carte nationale d'identité ou passeport notamment et en accord avec la liste fournie par notre Prestataire de Service de Paiement). Dans certains cas, un justificatif de domicile de moins de trois mois des Investisseurs est également collecté dans le cadre de levées de fonds réservées aux riverains du projet, assujetties au cahier des charges de la Commission de Régulation de l’Energie.

Conformément aux obligations relatives au prestataire européen de services de financement participatif auxquelles elle est soumise, Enerfip recueille, dans le questionnaire financier, les informations relatives à la situation financière, aux connaissances, à l'expérience et aux objectifs financiers de l'Investisseur Approuvé.

Conformément aux obligations relatives aux bulletins de souscription, et à la tenue des registres des Emetteurs lorsqu’elle réalise cette prestation optionnelle, Enerfip recueille les informations relatives à l'investissement des Investisseurs Approuvés.

Dirigeants et bénéficiaires effectifs des Porteurs de Projet

En vue de fournir aux Porteurs de projet le service de prestataire européen de services de financement participatif, Enerfip recueille (i) un justificatif d'identité, un justificatif de domicile et un curriculum vitae du dirigeant du Porteur de Projet, (ii) un justificatif d'identité et un justificatif de domicile des personnes détenant, directement ou indirectement, plus de 25% du capital ou des droits de vote du Porteur de Projet ou exerçant, par d'autres moyens, un pouvoir de contrôle sur les organes de gestion, d'administration ou de direction ou sur l'assemblée générale des associés ou actionnaires du Porteur de Projet.

Recueil du consentement

Enerfip recueille le consentement de l'investisseur au traitement de données à caractère personnel le concernant (demande de cocher la case « Oui » à la question « Autorisez-vous Enerfip à collecter certaines données à caractère personnel telles que définies dans notre politique de Confidentialité ci-dessous ? »).

Enerfip s'assure que le consentement des investisseurs est recueilli de façon libre, éclairée et univoque.

La preuve de ce consentement est archivée automatiquement par Enerfip dans l'espace personnel du client (nominatif pour les Investisseurs, ou relié à une adresse IP pour les Visiteurs).

Sécurité du traitement

Enerfip met en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données adapté au risque, et notamment :

  • la sécurisation du stockage physique des données à caractère personnel (local à archives sécurisé par un accès badge) ;

  • la sécurisation du stockage électronique des données à caractère personnel (serveur) ;

  • la sécurisation des accès aux données à caractère personnel (vérification et limitation des habilitations : limitation des accès aux logiciels, la mise en place de mots de passe, sécurisation de l’accès via VPN) ;

  • le cryptage des données stockées (PC portables)

  • la modification périodique des mots de passe ;

  • la réalisation de tests de hacking réguliers du système informatique ;

  • pour les données conservées dans le cloud, la vérification annuelle de la conformité à la règlementation du prestataire ;

Enerfip procède une fois par an à un audit interne afin d'évaluer la sécurisation des données à caractère personnel collectées.

Sous-traitance

En sa qualité de prestataire européen de services de financement participatif, Enerfip a choisi de ne pas détenir les fonds investis par les Investisseurs, et a recours pour ce faire à son Prestataire de Service de Paiement (ou Partenaire Bancaire).

Dans ce cadre, Enerfip sous-traite certains traitements de données à son Partenaire Bancaire. Le Partenaire Bancaire a donc accès à certaines données à caractère personnel des investisseurs (noms, prénoms, adresse, mail, justificatifs d'identité et à son adresse IP utilisée lors de son dernier investissement).

Enerfip, en sa qualité de responsable de traitement, et le Partenaire Bancaire, en sa qualité de sous-traitant, respectent les obligations applicables au titre de la règlementation.

Enerfip s'assure que le Partenaire Bancaire dispose des moyens techniques et organisationnels conformes aux exigences de la règlementation et garantissant la protection des droits des clients d'Enerfip.

Fourniture d'informations aux personnes dont les données personnelles sont collectées

Sont fournies à chaque investisseur :

  • l'identité et les coordonnées d'Enerfip en sa qualité de responsable de traitement ;

  • les coordonnées d'Enerfip, notamment l'adresse e-mail confidentialite@enerfip.fr;

  • les finalités des traitements réalisées, à savoir la fourniture du service de prestataire européen de services de financement participatif, la proposition d'ouverture d'un Livret « EnerJ » pour mineurs ou d'un Livret Investisseur personne morale, le respect des obligations légales et règlementaires incombant aux prestataires européens de services de financement participatifs ;

  • les destinataires des données personnelles traitées par Enerfip, notamment (i) les porteurs de projet des souscriptions réalisées par les investisseurs, (ii) le Partenaire Bancaire d'Enerfip, dans le cadre du suivi des flux monétaires liés aux levées de fonds, ainsi le cas, échéant, que dans l'hypothèse d'une gestion extinctive, (iii) certains fournisseurs de services d'Enerfip (gestionnaire du serveur, prestataire de gestion de service client, prestataires d'e-mailing) et (iv) dans l'hypothèse où Enerfip ne serait plus en mesure d'exercer ses activités, le tiers qui reprendrait ces activités.

Par ailleurs et conformément à la réglementation nationale et européenne applicable, les données personnelles des investisseurs peuvent être transmises aux autorités publiques dans le cadre d'une mission d'enquête particulière.

  • la durée de conservation des données à caractère personnel, à savoir cinq (5) ans, du fait des obligations réglementaires applicables à Enerfip en sa qualité de prestataire de services en financement participatif, ou la durée du contrat de prestation de services investisseurs si celle-ci est plus élevée ;

  • l'existence de droits d'accès, de rectification, d'effacement, de limitation du traitement, et de portabilité des données à caractère personnel ;

  • le droit d'introduire une réclamation auprès de la CNIL ;

  • le fait que l'exigence de fourniture de données à caractère personnel à Enerfip ait un caractère à la fois contractuel et réglementaire et qu'Enerfip ne soit pas en mesure de fournir les services en financement participatif en l'absence de fourniture de ces informations ;

  • l'existence d'un certificat d’adéquation pour chaque souscription reprenant les éléments du questionnaire financier ;

Droits des personnes concernées par les traitements de données à caractère personnel

Enerfip est en charge du traitement des demandes d'accès, de rectification, d'effacement, de limitation de traitement, de portabilité ou d'opposition des personnes dont les données à caractère personnel sont collectées.

Il notifie à chaque destinataire à qui les données à caractère personnel ont été communiquées toute rectification, effacement ou limitation de traitement effectuée.

Droit d'accès

Enerfip traite les demandes d'accès et fournit les informations suivantes :

  • les finalités du traitement;

  • les catégories de données à caractère personnel concernées;

  • les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

  • lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

  • l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement;

  • le droit d'introduire une réclamation auprès d'une autorité de contrôle;

  • lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;

  • l'existence d'une recommandation automatisée, y compris un profilage et des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

Enerfip s'assure qu'est fournie à la personne concernée une copie des données à caractère personnel faisant l'objet d'un traitement.

Ainsi, conformément à la réglementation, un utilisateur peut, sur simple demande, par tout moyen, obtenir une copie de ses données personnelles en notre possession set dans un délai de réception conforme avec la règlementation en vigueur. Une automatisation a été mise en place sur ce type de demande.

Enerfip demande le paiement de dix (10) euros pour toute copie supplémentaire demandée par la personne concernée.

Droit de rectification

Conformément à ses obligations règlementaires, Enerfip met régulièrement à jour les données à caractère personnel des Investisseurs.

Sur exercice de son droit de rectification par la personne concernée, Enerfip rectifie, dans les meilleurs délais, les données à caractère personnel inexactes.

Sur fourniture d'une déclaration complémentaire, Enerfip complète les données à caractère personnel incomplètes.

Enerfip informe la personne concernée de ce que son droit de rectification ou de complément s'applique sans préjudice de son obligation de fournir uniquement des informations exactes et complètes à Enerfip, et qu'Enerfip ne peut être tenue responsable des conséquences éventuelles de la fourniture d'informations inexactes par l'Investisseur, notamment dans ses réponses aux questionnaire financier et dans les bulletins de souscription signés.

Droit à l'effacement

Enerfip traite, dans les meilleurs délais, les demandes d'effacement des personnes concernées.

Il accepte notamment ces demandes lorsque les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées.

Il informe la personne concernée qu'il ne peut accepter sa demande, au regard des finalités du traitement, lorsque le contrat de prestataire de services en financement participatif est encore en vigueur, ou lorsque la durée de cinq (5) ans pendant laquelle Enerfip est légalement tenue de conserver les données à caractère personnel de ses clients n'est pas expirée.

Droit à la limitation du traitement

Enerfip s'assure que la limitation du traitement des données à caractère personnel est mise en oeuvre lorsque :

  • l'exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données à caractère personnel ;

  • le traitement est illicite et la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation;

  • le responsable du traitement n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice;

  • la personne concernée s'est opposée au traitement en vertu de l'article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

En cas de limitation de traitement, Enerfip s'assure que les données à caractère personnel ne sont, à l'exception de la conservation, traitées qu'avec le consentement de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice, ou pour la protection des droits d'une autre personne physique ou morale, ou encore pour des motifs importants d'intérêt public de l'Union ou d'un État membre.

Enerfip informe la personne concernée avant que la limitation du traitement ne soit levée.

Portabilité des données

Enerfip s'assure que les données à caractère personnel relatives à un investisseur sont conservées sur un support durable.

Enerfip conserve notamment une copie des réponses fournies au questionnaire financier, et des bulletins de souscription signés par un Investisseur.

Ces données sont fournies à la personne concernée sur simple demande de celle-ci.

En cas de cessation de son activité par Enerfip, celle-ci fait ses meilleurs efforts, sur demande de la personne concernée, pour que les données à caractère personnel soient directement transmises aux personnes assurant la reprise de l'activité d'Enerfip.

Droit d'opposition

Lorsque Enerfip reçoit une demande d'opposition au traitement de ses données par un investisseur, il l'informe qu'il ne peut y donner suite, les données traitées l'étant en vue de permettre l'exécution d'un contrat et du fait d'obligations légales et règlementaires.

Lorsque Enerfip reçoit une demande d'opposition au traitement de ses données par un internaute dont les données sont traitées à des fins de prospection, il s'assure que ces données ne soient plus traitées à ces fins.

Registre des activités de traitement

Enerfip tient un registre des activités de traitement effectués sous sa responsabilité. Ce registre comprend :

  • le nom et les coordonnées du responsable du traitement, et du représentant du responsable du traitement ainsi que toutes les informations concernant le responsable conjoint du traitement ;

  • les finalités du traitement;

  • une description des catégories de personnes concernées et des catégories de données à caractère personnel;

  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;

  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ;

  • dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données;

  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1 du Règlement Général sur la Protection des Données.

Ce registre est mis à jour deux fois par an par le délégué à la protection des données, qui est en mesure de le présenter à l'autorité compétente en cas de contrôle.

Politique de confidentialité

Enerfip tient à jour sur son site une politique de confidentialité librement consultable.

Dernière mise à jour