Notice de Protection des Données - TRACE.App

Cette notice de protection des données est régulièrement mise à jour. La version actuelle est toujours disponible sous Notice de Protection des Données - TRACE.App.

§ 1. Champ d'application de cette notice de protection des données

Cette notice de protection des données s'applique exclusivement à la TRACE.App, l'application d'analyse énergétique en nuage de TRACE Electricity GmbH, accessible à l'adresse app.trace-electricity.com.

TRACE Electricity GmbH est, pour les utilisateurs finaux (B2C), responsable du traitement au sens de l'art. 4 n° 7 RGPD. Pour les comptes entreprise B2B, dans lesquels TRACE traite des données personnelles de salariés pour le compte d'une entreprise, TRACE Electricity GmbH agit en tant que sous-traitant (art. 28 RGPD).

Les documents suivants relatifs à la protection des données et aux contrats s'appliquent à la TRACE.App :

• Notice de Protection des Données - TRACE.App - le présent document ; régit tous les traitements de données au sein de la TRACE.App
• Accord sur le Traitement des Données DPA - TRACE.App - conformément à l'art. 28 RGPD, pour les comptes entreprise B2B
• Mesures Techniques et Organisationnelles MTO - TRACE.App - mesures de sécurité conformément à l'art. 32 RGPD, annexe au DPA

Pour le site web trace-electricity.com, la Politique de Confidentialité distincte s'applique. Pour l'application TRACE.Parser, la Notice de Protection des Données - TRACE.Parser s'applique.

§ 2. Responsable du traitement

Le responsable du traitement des données personnelles dans le cadre de la TRACE.App est :

TRACE Electricity GmbH
Dorothea-Bernstein-Weg 48
22081 Hamburg
Allemagne
E-mail : privacy@trace-electricity.com

Aucun délégué à la protection des données n'a été désigné chez TRACE Electricity GmbH, car les conditions légales prévues à l'art. 37 RGPD ne sont pas remplies. Veuillez adresser vos demandes relatives à la protection des données à : privacy@trace-electricity.com.

§ 3. Qu'est-ce que la TRACE.App ?

La TRACE.App est une application en nuage destinée aux décideurs des petites et moyennes entreprises (PME) souhaitant analyser leur consommation énergétique, identifier des potentiels d'économies et réduire leurs émissions de CO₂. Les utilisateurs peuvent saisir des données de consommation énergétique, recevoir des recommandations personnalisées et, sur la base de l'analyse, solliciter des fournisseurs de solutions énergétiques appropriés.

La TRACE.App s'adresse aux décideurs et aux salariés en entreprise. L'utilisation par des mineurs de moins de 18 ans n'est pas prévue.

§ 4. Quelles données traitons-nous ?

4.1 Données que vous fournissez

Lors de l'inscription et de l'utilisation de la TRACE.App, nous collectons :

• Nom et prénom
• Adresse e-mail et mot de passe (données d'accès — les mots de passe sont stockés exclusivement sous forme hachée et ne sont pas lisibles en clair par nos soins)
• Numéro de téléphone (facultatif)
• Préférences de communication (p. ex. consentement à la newsletter)
• Informations sur l'entreprise (secteur, taille, localisation) — dans la mesure où vous les renseignez
• Données de consommation et de coûts énergétiques saisies par vos soins

Remarque concernant les données de consommation énergétique : La TRACE.App traite des données de facturation d'électricité et des profils de charge. TRACE Electricity traite ces données exclusivement aux fins mentionnées dans cette notice de protection des données (analyse énergétique et exécution du contrat). Nous estimons que des données haute résolution de compteurs intelligents peuvent, dans certains cas, permettre de tirer des conclusions sur les habitudes de vie. Nous traitons donc ces données avec un soin particulier, sans profilage à des fins marketing et sans transmission à des tiers en dehors des destinataires mentionnés dans la présente notice.

Si vous vous inscrivez via un service tiers (p. ex. Google), nous recevons les données de profil transmises par ce service (nom, adresse e-mail) dans le cadre du processus OAuth. Veuillez noter que Google traite des données conformément à sa propre politique de confidentialité lors de l'utilisation de la connexion Google (policies.google.com/privacy). Nous n'avons aucune influence sur ce traitement. Vous pouvez révoquer à tout moment l'accès de l'application TRACE à votre compte Google sous myaccount.google.com/permissions. En cas d'utilisation de Google Sign-In, les politiques de confidentialité de Google Ireland Ltd. s'appliquent également (policies.google.com/privacy). Le transfert de données vers les États-Unis s'effectue sur la base du cadre de protection des données UE-États-Unis (EU-U.S. DPF). Si la décision d'adéquation UE-États-Unis (C(2023) 4745) était suspendue ou annulée, le transfert serait fondé à titre subsidiaire sur les clauses contractuelles types de l'UE conformément à la décision d'exécution (UE) 2021/914.

En cas d'utilisation de la connexion Google, Google Ireland Limited agit en tant que responsable du traitement indépendant pour vos données de compte Google, conformément à ses propres conditions de protection des données (https://policies.google.com/privacy). TRACE ne reçoit que les données de profil transmises après la connexion (nom, adresse e-mail, identifiant utilisateur Google).

4.2 Données collectées automatiquement

Lors de l'utilisation de la TRACE.App, des données techniques sont collectées automatiquement :

• Adresse IP (tronquée ou anonymisée à des fins d'analyse)
• Informations sur l'appareil et le navigateur (type, système d'exploitation, version)
• Journal d'utilisation (horodatage de connexion, fonctions consultées)
• Géolocalisation approximative (déductible de l'adresse IP)
• Rapports de plantage et journaux d'erreurs techniques : AWS CloudWatch (Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg) — journalisation des erreurs et surveillance du système. Lieu de traitement : UE. Base juridique : art. 6 al. 1 lit. f RGPD (intérêt légitime à la sécurité du système et au diagnostic des erreurs). (Supprimés automatiquement après 90 jours maximum.)

§ 5. Traitement et résultats

Le traitement des données s'effectue de manière automatisée sur la base d'algorithmes et de procédés techniques.

Les analyses et résultats générés par la TRACE.App peuvent être incomplets ou erronés. Le prestataire ne garantit pas l'exactitude du contenu, la précision, l'exhaustivité ou l'adéquation des résultats à un usage particulier.

La responsabilité de la vérification et de l'utilisation des résultats incombe exclusivement à l'utilisateur.

§ 6. Bases juridiques

• Préparation et exécution du contrat (art. 6 al. 1 lit. b RGPD) : traitement des données d'inscription et de compte ainsi que des données de consommation énergétique saisies pour la fourniture des fonctionnalités de l'application.
• Intérêts légitimes (art. 6 al. 1 lit. f RGPD) : traitement des données d'utilisation techniques pour assurer le fonctionnement, détecter et repousser les attaques (détection d'intrusion), diagnostiquer les erreurs et développer l'application. TRACE a soigneusement évalué que ce traitement ne constitue pas une contrainte excessive pour les personnes concernées : les données collectées sont de nature technique, ne sont pas utilisées à des fins de profilage ou publicitaires et sont supprimées après 90 jours. L'intérêt à un fonctionnement fluide et sécurisé prévaut sur l'intérêt des utilisateurs à la non-utilisation des données. L'intérêt légitime réside dans la sécurité de l'application, la prévention des fraudes et l'analyse d'utilisation pour améliorer l'application.
• Consentement (art. 6 al. 1 lit. a RGPD) : communication marketing par e-mail (newsletter, mises à jour produit), si vous y avez consenti. Vous pouvez révoquer votre consentement à tout moment — soit via le lien de désabonnement dans chaque e-mail marketing, soit par e-mail à privacy@trace-electricity.com. La révocation ne remet pas en cause la licéité du traitement effectué jusqu'à ce moment.
• Obligations légales de conservation (art. 6 al. 1 lit. c RGPD) : conservation des données contractuelles et, le cas échéant, des données de facturation conformément aux dispositions légales applicables (6 ou 10 ans).
• Consentement pour les cookies d'analyse (art. 6 al. 1 lit. a RGPD) : utilisation de Google Analytics 4 après consentement préalable via la bannière de cookies sur le site web TRACE. La pose de cookies techniquement nécessaires s'effectue sans consentement.

§ 7. Obligation de fourniture des données

La fourniture de vos données d'inscription (nom, adresse e-mail) est contractuellement requise pour l'utilisation de la TRACE.App. Sans ces informations, la création d'un compte utilisateur et donc l'utilisation de l'application ne sont pas possibles. La fourniture de données supplémentaires (numéro de téléphone, informations sur l'entreprise) est volontaire.

Pour la fonction d'analyse proprement dite, la saisie de données de consommation énergétique (valeurs de consommation, coûts, informations de localisation) est nécessaire ; sans ces informations, aucune recommandation ni analyse d'économies ne peut être établie.

§ 8. Transmission des données

Nous ne transmettons vos données personnelles que dans les cas suivants :

• Sur votre demande : Lorsque vous initiez activement une demande auprès d'un fournisseur de solutions énergétiques via l'application, nous transmettons à cet effet le nom, les coordonnées et les données de consommation énergétique autorisées pour la demande. La base juridique est l'art. 6 al. 1 phrase 1 lit. a RGPD (votre demande active). Le fournisseur de solutions énergétiques concerné est responsable de son traitement ultérieur de manière indépendante. Les fournisseurs de solutions énergétiques étant des responsables du traitement indépendants, leur propre politique de confidentialité s'applique à leur traitement ultérieur. Les catégories de destinataires possibles sont : fournisseurs d'énergie, conseillers en énergie, fournisseurs de solutions énergétiques renouvelables (p. ex. photovoltaïque, pompe à chaleur, stockage par batterie) ainsi que sociétés de conseil en efficacité énergétique. Les fournisseurs sollicités dans chaque cas vous seront communiqués dans la confirmation de demande. Sur demande, nous vous informerons des fournisseurs qui ont reçu vos données dans le cadre d'une demande initiée par vos soins ; veuillez contacter à cet effet privacy@trace-electricity.com.
• Aux sous-traitants : Aux prestataires qui nous soutiennent dans l'exploitation et le développement de l'application (voir section 9).
• En vertu d'obligations légales : Lorsque nous sommes légalement ou administrativement tenus de transmettre des données.

Nous ne vendons pas vos données.

§ 9. Prestataires tiers et sous-traitants ultérieurs

TRACE fait appel aux prestataires suivants en tant que sous-traitants ultérieurs. Des accords sur le traitement des données conformément à l'art. 28 RGPD ont été conclus avec tous les prestataires.

Pour les comptes entreprise (B2B), dans lesquels TRACE traite des données personnelles de salariés pour le compte de l'entreprise, l'Accord sur le Traitement des Données DPA - TRACE.App conformément à l'art. 28 RGPD est disponible.

Les données de la TRACE.App sont stockées exclusivement sur des serveurs situés en Allemagne.

Amazon Web Services EMEA SARL est utilisé en tant que prestataire principal d'infrastructure en nuage (backend, base de données, stockage de données) conformément à l'art. 28 RGPD. Lieu de traitement : AWS eu-central-1 (Francfort, Allemagne). Auth0 (Okta EMEA Limited) est utilisé pour l'authentification des utilisateurs ; lieu de traitement : locataire UE (eu.auth0.com, eu-west-1, Irlande). Aucun transfert vers pays tiers. À titre de garantie subsidiaire en cas d'interaction avec la société mère américaine Okta, Inc., des clauses contractuelles types conformément aux SCC 2021/914 Module 4 (sous-traitant non-UE → responsable du traitement UE) sont convenues.

Remarque : Hotjar (analyse comportementale) est utilisé exclusivement sur le site web public trace-electricity.com, et non sur le domaine de l'application app.trace-electricity.com. Pour plus de détails sur l'utilisation de Hotjar sur le site web, consultez la politique de confidentialité générale.

Microsoft Bookings (prise de rendez-vous)

Pour la réservation de rendez-vous de support et de conseil, nous utilisons Microsoft Bookings de Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irlande. Lors de la réservation, le nom, l'adresse e-mail et le rendez-vous choisi sont traités. La base juridique est l'art. 6 al. 1 lit. b RGPD (préparation d'un contrat de conseil). Microsoft Ireland Operations Limited est lié en tant que sous-traitant conformément à l'art. 28 RGPD. Transfert vers pays tiers : clauses contractuelles types (SCC 2021/914). Pour plus d'informations : privacy.microsoft.com/fr-fr/privacystatement.

§ 10. Durée de conservation

Les copies de sauvegarde sur AWS S3 (eu-central-1) sont supprimées automatiquement selon un cycle glissant de 35 jours. La limitation du stockage est conforme à l'art. 5(1)(e) RGPD.

• Données du compte : Pour la durée de la relation d'utilisation. Lorsque vous supprimez votre compte via l'application elle-même, il est d'abord désactivé. Dans les 90 jours suivant la désactivation, vous pouvez réactiver votre compte en vous reconnectant ; à l'expiration de ce délai, vos données personnelles sont supprimées de manière irrévocable, sauf si des obligations légales de conservation s'y opposent. Les demandes de suppression expresses conformément à l'art. 17 RGPD (par e-mail à privacy@trace-electricity.com) sont exécutées sans délai, sans respecter le délai de transition de 90 jours, dans la mesure où aucune obligation légale de conservation ne s'y oppose.
• Données de consommation énergétique : Pour la durée de la relation d'utilisation, puis suppression définitive à l'expiration du délai de transition de 90 jours après la suppression du compte (conjointement avec les données du compte).
• Journaux d'utilisation (données techniques) : 90 jours, puis suppression automatique.
• Journaux d'audit et d'accès : Conservation 12 mois, base juridique art. 6 al. 1 lit. c RGPD.
• Consentement marketing : Jusqu'à la révocation ; après révocation, aucun autre e-mail marketing n'est envoyé.
• Données soumises à obligation légale de conservation : Conformément aux délais légaux (max. 10 ans).

Aperçu des délais de conservation :

• Demandes de contact : 3 ans
• Données de facturation : 10 ans
• Journaux d'analyse (anonymisés) : les données d'événements sont conservées dans Google Analytics 4 pendant 14 mois (configuré). Les rapports agrégés peuvent être conservés plus longtemps.
• Données du compte après résiliation : 90 jours (réactivation possible), puis suppression
• Données soumises à obligation légale de conservation : conformément à la loi applicable

§ 11. LinkedIn Ireland Unlimited Company — Insight Tag (coresponsables du traitement conformément à l'art. 26 RGPD)

Nous utilisons sur notre site web le LinkedIn Insight Tag de LinkedIn Ireland Unlimited Company, Wilton Plaza, Wilton Place, Dublin 2, Irlande.

Finalité : Analyse de l'efficacité de nos annonces LinkedIn (suivi des conversions) ; création de statistiques anonymes sur l'utilisation du site web par les membres LinkedIn.

Coresponsabilité du traitement (art. 26 RGPD) : LinkedIn Ireland Unlimited Company et nous sommes coresponsables du traitement de la collecte de données déclenchée par l'Insight Tag au sens de l'art. 26 RGPD. LinkedIn agit en tant que responsable du traitement indépendant — et non en tant que notre sous-traitant. Base : accord de coresponsabilité de LinkedIn (legal.linkedin.com/pages-joint-controller-addendum).

Données traitées : Adresse IP (anonymisée par LinkedIn dans les 7 jours), données URL, informations sur le référent, données sur l'appareil, horodatage.

Base juridique : Art. 6(1)(a) RGPD (consentement via la bannière de cookies). Durée de conservation : 90 jours (données de conversion pseudonymisées). Opposition : Paramètres du compte LinkedIn → Paramètres de confidentialité → Paramètres des annonces.

Conformément à l'art. 26 al. 2 phrase 2 RGPD, nous désignons TRACE Electricity GmbH (privacy@trace-electricity.com) comme point de contact principal pour les droits des personnes concernées en lien avec les données traitées par LinkedIn. Nous transmettrons votre demande à LinkedIn le cas échéant.

§ 12. Cookies et technologies de suivi

La TRACE.App utilise des cookies techniquement nécessaires pour maintenir votre session (cookies de session, posés sans consentement car exclusivement nécessaires à la gestion de session) ainsi que des cookies d'analyse optionnels (Google Analytics), si vous avez consenti à leur utilisation sur le site web TRACE (trace-electricity.com). Le consentement est valable sur plusieurs domaines : un consentement accordé sur trace-electricity.com est enregistré dans un cookie first-party (trace-consent-v1, durée : 12 mois, domaine : .trace-electricity.com). Ce cookie est lisible simultanément depuis les deux domaines, car il est posé sur le domaine parent commun. Lors du premier accès à app.trace-electricity.com, le gestionnaire de consentement lit ce cookie. Si aucun consentement enregistré n'est trouvé, la bannière de cookies apparaît également sur le domaine de l'application. Un aperçu détaillé des cookies utilisés est disponible dans les paramètres des cookies. Vous pouvez révoquer ou adapter votre consentement à tout moment via le lien « Paramètres des cookies » dans le pied de page du site web ou de l'application.

Classification juridique :

• Soumis à consentement : Google Analytics 4 (GA4).
• Techniquement nécessaires, aucun consentement requis : Jeton de session, cookie d'authentification.

Remarque : La TRACE.App et le site web TRACE utilisent le même compte Google Analytics 4 avec un concept de consentement identique. Une description détaillée du traitement par Google Analytics se trouve dans la politique de confidentialité du site web TRACE.

TRACE utilise GA4 Consent Mode v2. En cas de consentements refusés, seuls des signaux d'état de consentement sans données personnelles sont transmis à Google. La collecte de données à des fins analytiques ne s'effectue qu'avec consentement accordé.

§ 13. Vos droits

En tant que personne concernée, vous disposez des droits suivants vis-à-vis de TRACE :

• Accès (art. 15 RGPD) : Vous pouvez demander des informations sur les données que nous avons enregistrées à votre sujet.
• Rectification (art. 16 RGPD) : Vous pouvez demander la rectification de données inexactes.
• Suppression (art. 17 RGPD) : Vous pouvez demander la suppression de vos données, dans la mesure où aucune obligation légale de conservation ne s'y oppose.
• Limitation du traitement (art. 18 RGPD) : Vous pouvez demander la limitation du traitement.
• Obligation de notification (art. 19 RGPD) : Nous communiquons à tout destinataire à qui vos données personnelles ont été divulguées toute rectification, suppression ou limitation du traitement, sauf si cela s'avère impossible ou implique des efforts disproportionnés. Sur demande, nous vous informons de ces destinataires.
• Portabilité des données (art. 20 RGPD) : Vous avez le droit de recevoir vos données dans un format lisible par machine.
• Opposition (art. 21 RGPD) : Vous pouvez vous opposer à tout moment au traitement fondé sur des intérêts légitimes.
• Révocation du consentement (art. 7 al. 3 RGPD) : Vous pouvez révoquer à tout moment un consentement accordé (p. ex. pour des e-mails marketing), sans que la licéité du traitement effectué jusqu'à la révocation soit remise en cause.

Droit d'opposition à la publicité directe (art. 21 al. 2 RGPD) : Vous avez le droit de vous opposer à tout moment au traitement de vos données personnelles à des fins de publicité directe ; cela s'applique également au profilage dans la mesure où il est lié à la publicité directe.

Pour exercer vos droits, veuillez contacter : privacy@trace-electricity.com.

Conformément à l'art. 12 al. 3 RGPD, vos demandes sont traitées dans un délai d'un mois. En cas de complexité particulière, ce délai peut être prolongé de deux mois supplémentaires ; nous vous informerons dans ce cas de la prolongation.

Vous avez également le droit d'introduire une réclamation auprès d'une autorité de contrôle en matière de protection des données. L'autorité compétente pour TRACE est le Commissaire de Hambourg à la Protection des Données et à la Liberté de l'Information (HmbBfDI), Ludwig-Erhard-Str. 22, 20459 Hamburg, Tél. 040 42854-4040, mailbox@datenschutz.hamburg.de (www.datenschutz.hamburg.de).

§ 14. Droit d'opposition (art. 21 RGPD)

Dans la mesure où nous traitons vos données personnelles sur la base d'intérêts légitimes conformément à l'art. 6 al. 1 lit. f RGPD (intérêt légitime : sécurité de l'application, prévention des fraudes, analyse d'utilisation pour améliorer l'application), vous avez le droit de vous opposer à tout moment à ce traitement pour des raisons tenant à votre situation particulière. Dans ce cas, nous ne traiterons plus vos données, sauf si nous pouvons démontrer des motifs légitimes impérieux justifiant le traitement qui prévalent sur vos intérêts, droits et libertés, ou si le traitement sert à la constatation, à l'exercice ou à la défense de droits en justice.

Pour exercer votre droit d'opposition, un simple e-mail informel suffit à : privacy@trace-electricity.com.

Vous disposez en outre d'un droit d'opposition distinct contre le traitement de vos données personnelles à des fins de publicité directe (art. 21 al. 2 RGPD). Ce droit s'exerce sans qu'il soit nécessaire d'invoquer une situation particulière.

§ 15. Sécurité des données

TRACE met en œuvre des mesures techniques et organisationnelles (MTO) conformément à l'art. 32 RGPD pour protéger vos données contre tout accès non autorisé, perte ou destruction. La communication entre votre navigateur ou votre application et nos serveurs s'effectue exclusivement via des connexions HTTPS chiffrées (TLS 1.2+). Les données au repos sont stockées chiffrées avec AES-256. Les droits d'accès sont attribués selon le principe du moindre privilège (Least Privilege). Les serveurs de la TRACE.App sont situés en Allemagne. La documentation complète des MTO est disponible : Mesures Techniques et Organisationnelles TRACE.App (MTO).

§ 16. Modifications de cette notice de protection des données

Nous nous réservons le droit de mettre à jour cette notice de protection des données afin de tenir compte des modifications apportées au traitement des données ou des exigences légales. La version actuelle est toujours disponible à l'adresse trace-electricity.com/fr/confidentialite-app/. Nous vous informerons des modifications substantielles par e-mail.

§ 17. Cessation du service

En cas de cessation du service par TRACE : information préalable de 90 jours avec possibilité d'export ; puis suppression irrévocable de toutes les données personnelles.

§ 18. Prise de décision automatisée

TRACE ne prend aucune décision individuelle automatisée ayant un effet juridique ou similairement significatif (art. 22 al. 1 RGPD). Les recommandations et analyses générées par algorithme servent d'aide à la décision ; la décision finale appartient toujours à l'utilisateur.

Si vous utilisez également le site web TRACE ou TRACE.Parser, les notices de protection des données supplémentaires de la Politique de Confidentialité et de la Notice de Protection des Données - TRACE.Parser s'appliquent.