Cette notice de protection des données est régulièrement mise à jour. La version actuelle est toujours disponible sous Notice de Protection des Données - TRACE.Parser.
Cette notice de protection des données s'applique exclusivement à TRACE.Parser, l'outil SaaS en cloud pour le traitement et l'analyse automatisés des profils de production d'énergie de TRACE Electricity GmbH, accessible sous parser.trace-electricity.com.
TRACE.Parser s'adresse exclusivement aux clients professionnels (B2B). TRACE Electricity GmbH agit en tant que sous-traitant des responsables du traitement respectifs conformément à l'Art. 28 RGPD. Le client (donneur d'ordre) reste responsable du traitement au sens de l'Art. 4, n° 7 RGPD.
Pour TRACE.Parser, les documents suivants relatifs à la protection des données et aux contrats sont applicables :
Pour le site web trace-electricity.com, la Notice de Confidentialité séparée s'applique. Pour TRACE.App, la Notice de Protection des Données - TRACE.App s'applique.
Le responsable du traitement des données à caractère personnel dans le cadre de TRACE.Parser est :
Dans la mesure où TRACE traite des données à caractère personnel d'employés ou de clients finaux d'entreprises clientes pour le compte de celles-ci, TRACE agit en tant que sous-traitant conformément à l'Art. 28 RGPD ; le donneur d'ordre reste responsable du traitement. La base juridique est l'accord sur le traitement des données (DPA) conclu avec le client.
TRACE Electricity GmbH
Dorothea-Bernstein-Weg 48
22081 Hamburg
Allemagne
E-mail : privacy@trace-electricity.com
Un délégué à la protection des données n'a pas été désigné chez TRACE Electricity GmbH, car les conditions légales prévues à l'Art. 37 RGPD en lien avec le § 38 BDSG ne sont pas remplies.
TRACE.Parser est un outil SaaS en cloud pour le traitement et l'analyse automatisés des profils de production d'énergie. Les utilisateurs peuvent télécharger des données de production (par ex. sous forme de fichier CSV ou XLSX) ; l'application les analyse pour détecter des erreurs de données, des anomalies et des indicateurs clés, et met les résultats à disposition sous forme de rapports.
TRACE.Parser s'adresse exclusivement aux entreprises et aux personnes exerçant une activité commerciale. L'utilisation par des mineurs de moins de 18 ans n'est pas prévue.
Données téléchargées (CSV de profil de production) : Les fichiers CSV téléchargés contenant des données de production d'électricité sont traités exclusivement à des fins d'analyse et sont automatiquement supprimés dans les 24 heures suivant la fin de l'analyse. Lieu de traitement et de stockage : AWS eu-central-1 (Francfort).
Résultats d'analyse : Les évaluations calculées (par ex. valeurs LCOE, profils de production) sont conservées pendant la durée du contrat d'utilisation et supprimées dans les 30 jours suivant la fin du contrat.
Limitation du stockage : Toutes les données de traitement temporaires sont immédiatement supprimées après la fin du traitement (Art. 5(1)(e) RGPD).
Lors de la demande d'un accès de test ou d'une offre, nous collectons :
Si vous vous inscrivez à TRACE.Parser via un service tiers (par ex. Google), nous recevons les données de profil transmises par ce service (nom, adresse e-mail) dans le cadre du processus OAuth. Veuillez noter que Google traite des données selon sa propre politique de confidentialité lors de l'utilisation de la connexion Google (policies.google.com/privacy). Nous n'avons aucune influence sur ce traitement. Vous pouvez révoquer à tout moment l'accès de l'application TRACE à votre compte Google sous myaccount.google.com/permissions.
Lors de l'utilisation de Google Sign-In, les politiques de confidentialité de Google Ireland Ltd. s'appliquent également (policies.google.com/privacy). Le transfert de données vers les États-Unis s'effectue sur la base du EU-U.S. DPF. Si la décision d'adéquation EU-U.S. (C(2023) 4745) est suspendue ou annulée, le transfert s'appuie en remplacement sur les clauses contractuelles types de l'UE conformément à la décision d'exécution (UE) 2021/914.
Après la conclusion du contrat, nous conservons également les données d'accès au compte (adresse e-mail en tant qu'identifiant utilisateur) ainsi que, le cas échéant, les données de facturation.
Lors de l'utilisation de TRACE.Parser, des données d'utilisation techniques sont automatiquement collectées :
Les profils de production téléchargés par le client (CSV/XLSX) peuvent contenir des données de mesure qui — selon la configuration — peuvent être liées à des personnes identifiables (par ex. pour des installations sur des propriétés à usage privé). Ces données sont traitées par TRACE exclusivement aux fins d'exécution de l'analyse commandée. Le client reste responsable du traitement en ce qui concerne ces données ; TRACE agit en tant que sous-traitant conformément à l'Art. 28 RGPD. Le client, en tant que responsable du traitement, est tenu de s'assurer qu'il dispose d'une base juridique adéquate conformément à l'Art. 6 RGPD pour transmettre à TRACE à des fins de traitement les données à caractère personnel contenues dans les profils de production téléchargés.
Note sur les profils de production d'énergie : TRACE.Parser traite des profils de production d'électricité et des données d'installations. Ces données concernent en règle générale des installations d'entreprises (B2B) et non des consommateurs individuels. Dans la mesure où des données à caractère personnel de personnes physiques sont contenues dans des cas particuliers (par ex. pour des petites installations), celles-ci sont traitées avec un soin particulier.
Les données de consommation d'énergie importées dans le cadre de l'analyse peuvent contenir des données à caractère personnel (par ex. données de localisation, modes de consommation). Le donneur d'ordre est responsable de la licéité de la transmission de ces données (DPA §4).
Le traitement des données s'effectue de manière automatisée sur la base d'algorithmes et de procédés techniques.
Les résultats générés par TRACE.Parser peuvent être incomplets ou erronés. Le prestataire ne garantit pas l'exactitude matérielle, la précision, l'exhaustivité ou l'adéquation des résultats à un objectif particulier.
La responsabilité de la vérification et de l'utilisation des résultats incombe exclusivement au client.
Utilisation anonymisée à des fins d'entraînement : TRACE Electricity est autorisée à créer des ensembles de données statistiquement agrégées et entièrement anonymisées à partir des données de profils de production traitées et à les utiliser pour le développement et l'entraînement de ses propres algorithmes et modèles d'IA. L'anonymisation est effectuée conformément aux exigences du considérant 26 RGPD ; la ré-identification de donneurs d'ordre individuels ou de leurs clients est techniquement exclue. Base juridique : Art. 6, al. 1, lit. f RGPD (intérêt légitime de TRACE à l'amélioration du produit). Dans le cadre de l'accord sur le traitement des données, l'utilisation de vos données pour l'entraînement de modèles d'IA propriétaires est exclue dans la mesure où des données à caractère personnel sont concernées. Les clients peuvent à tout moment s'opposer à l'utilisation de leurs données à des fins d'entraînement (Art. 21 RGPD) — par e-mail à privacy@trace-electricity.com.
Différenciation selon le TDDDG :
L'indication du nom et de l'adresse e-mail professionnelle est contractuellement requise pour la demande d'un accès de test ainsi qu'après la conclusion du contrat pour le fonctionnement du compte. Sans ces informations, aucun accès à TRACE.Parser ne peut être fourni.
La fourniture de profils de production (CSV/XLSX) est nécessaire à la fourniture du service d'analyse commandé ; sans données de production, aucune analyse ne peut être réalisée. D'autres indications (secteur, fonction) sont facultatives.
TRACE fait appel aux prestataires suivants en tant que sous-traitants ultérieurs. Des accords sur le traitement des données conformément à l'Art. 28 RGPD ont été conclus avec tous les prestataires.
| Prestataire | Finalité | Lieu du serveur | Base juridique (transfert vers pays tiers) |
|---|---|---|---|
| Amazon Web Services EMEA SARL | Infrastructure cloud, stockage de données, exécution des analyses | UE | Aucun transfert vers pays tiers (serveur en UE) ; en complément : EU-U.S. Data Privacy Framework (AWS certifié) ainsi que clauses contractuelles types conformément à l'Art. 46, al. 2, lit. c RGPD |
| Cloudflare Germany GmbH | CDN, protection DDoS, DNS | UE | Aucun transfert vers pays tiers (entité UE) ; en complément : EU-U.S. Data Privacy Framework (Cloudflare certifié) ainsi que clauses contractuelles types conformément à l'Art. 46, al. 2, lit. c RGPD |
| PagerDuty, Inc. (gestion des incidents / alertes) | Gestion technique des incidents et alertes en cas de pannes système. Données transmises : informations techniques sur l'état du système (aucune donnée client). | États-Unis (San Francisco, CA) | Transfert vers pays tiers USA : clauses contractuelles types de l'UE (CCT, Module 3 : ST→Sous-ST) conformément à l'Art. 46, al. 2, lit. c RGPD. Protection des données : pagerduty.com/privacy-policy/ |
| Google Ireland Limited (Google Analytics 4) | Cookies d'analyse (Google Analytics 4), uniquement avec consentement — applicable à la page d'accueil TRACE.Parser sur trace-electricity.com | UE | Aucun transfert vers pays tiers (lieu de traitement UE) ; en complément : EU-U.S. Data Privacy Framework (Google certifié) ainsi que clauses contractuelles types conformément à l'Art. 46, al. 2, lit. c RGPD |
| Hotjar Ltd. | Analyse comportementale (Hotjar), uniquement avec consentement — applicable à la page d'accueil TRACE.Parser sur trace-electricity.com | UE (Malte) | Aucun transfert vers pays tiers (entreprise UE basée à Malte) ; pour d'éventuels transferts ultérieurs par Hotjar vers des sous-traitants hors UE, les propres clauses contractuelles types de Hotjar conformément à l'Art. 46, al. 2, lit. c RGPD s'appliquent |
| LinkedIn Ireland Unlimited Company | Marketing (LinkedIn Insight Tag), uniquement avec consentement — applicable à la page d'accueil TRACE.Parser sur trace-electricity.com | UE (Dublin) | Aucun transfert vers pays tiers (entité UE) ; en complément : EU-U.S. Data Privacy Framework (LinkedIn certifié) ainsi que clauses contractuelles types conformément à l'Art. 46, al. 2, lit. c RGPD |
Toutes les données de production sont traitées exclusivement au sein de l'UE.
Pour l'envoi d'e-mails (confirmation d'inscription, notifications de modification de tarif), TRACE utilise Amazon Web Services (AWS SES), Francfort (UE). AWS est sous-traitant conformément à l'Art. 28 RGPD.
AWS EMEA SARL (Luxembourg) fait appel à AWS Inc., 410 Terry Ave. North, Seattle, WA 98109, USA, en tant que sous-traitant ultérieur. Base juridique pour le transfert vers un pays tiers : clauses contractuelles types de l'UE (Décision 2021/914, Module 4 : ST→ST) en lien avec EU-U.S. Data Privacy Framework. AWS Inc. est certifié selon l'EU-U.S. DPF. Si la décision d'adéquation EU-U.S. (C(2023) 4745) est suspendue ou annulée, le transfert s'appuie en remplacement sur les clauses contractuelles types de l'UE conformément à la décision d'exécution (UE) 2021/914.
Transferts vers pays tiers — Bases juridiques : Base des transferts vers pays tiers pour les fournisseurs américains (Google, AWS, Cloudflare) : EU-U.S. Data Privacy Framework (DPF, décision d'adéquation de la Commission européenne du 10 juillet 2023) ainsi que clauses contractuelles types (CCT) de la Commission européenne (Décision 2021/914). Statut de certification vérifiable sous dataprivacyframework.gov. Si la décision d'adéquation EU-U.S. (C(2023) 4745) est suspendue ou annulée, le transfert s'appuie en remplacement sur les clauses contractuelles types de l'UE conformément à la décision d'exécution (UE) 2021/914.
Vue d'ensemble des transferts vers pays tiers :
Vue d'ensemble des délais de conservation :
En tant que personne concernée, vous disposez des droits suivants à l'égard de TRACE :
Droit d'opposition à la prospection directe (Art. 21, al. 2 RGPD) : vous avez le droit de vous opposer à tout moment au traitement de données à caractère personnel vous concernant à des fins de prospection directe ; cela vaut également pour le profilage dans la mesure où il est lié à la prospection directe.
Pour exercer vos droits, veuillez vous adresser à : privacy@trace-electricity.com.
Conformément à l'Art. 12, al. 3 RGPD, vos demandes seront traitées dans un délai d'un mois. En cas de complexité particulière, ce délai peut être prolongé de deux mois supplémentaires ; nous vous informerons dans ce cas de la prolongation.
Vous avez également le droit d'introduire une réclamation auprès d'une autorité de contrôle de la protection des données. L'autorité compétente pour TRACE est le Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (Délégué à la Protection des Données et à la Liberté d'Information de Hambourg), Ludwig-Erhard-Str. 22, 20459 Hamburg, tél. 040 42854-4040 (www.datenschutz.hamburg.de).
Les réclamations peuvent être adressées à l'autorité de contrôle compétente. Compétente pour TRACE : Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI), Ludwig-Erhard-Str. 22, 20459 Hamburg, mailbox@datenschutz.hamburg.de.
Dans la mesure où nous traitons vos données à caractère personnel sur la base d'intérêts légitimes conformément à l'Art. 6, al. 1, lit. f RGPD, vous avez le droit de vous opposer à tout moment à ce traitement pour des raisons tenant à votre situation particulière. Dans ce cas, nous ne traiterons plus vos données, sauf si nous pouvons démontrer des motifs légitimes impérieux pour le traitement qui prévalent sur vos intérêts, vos droits et vos libertés, ou si le traitement sert à la constatation, à l'exercice ou à la défense de droits en justice.
Pour exercer votre droit d'opposition, il suffit d'envoyer un e-mail informel à : privacy@trace-electricity.com.
Vous disposez également d'un droit d'opposition distinct contre le traitement de vos données à caractère personnel à des fins de prospection directe conformément à l'Art. 21, al. 2 RGPD. Dans la mesure où TRACE vous envoie dans le cadre de la relation contractuelle des informations relatives aux produits ou des communications de service (par ex. notifications de nouvelles fonctionnalités ou de modifications de tarifs), vous pouvez vous y opposer à tout moment — sans avoir à invoquer une situation particulière.
TRACE met en œuvre des mesures techniques et organisationnelles (MTO) conformément à l'Art. 32 RGPD pour protéger vos données contre tout accès non autorisé, toute perte ou destruction. La communication entre votre navigateur et nos serveurs s'effectue exclusivement via des connexions HTTPS chiffrées (TLS 1.2+). Les données au repos sont stockées chiffrées avec AES-256 sur l'infrastructure AWS. Les droits d'accès sont attribués selon le principe du moindre privilège (Least Privilege). La documentation complète des MTO est disponible sous : Mesures Techniques et Organisationnelles TRACE.Parser (MTO).
Nous nous réservons le droit de mettre à jour cette notice de protection des données pour tenir compte des modifications du traitement des données ou des exigences légales. La version actuelle est toujours disponible sous trace-electricity.com/fr/confidentialite-parser/. Nous vous informerons par e-mail des modifications importantes.
TRACE ne prend pas de décisions individuelles automatisées ayant un effet juridique ou similairement significatif (Art. 22, al. 1 RGPD). Les recommandations et analyses générées algorithmiquement servent d'aide à la décision ; la décision finale appartient toujours à l'utilisateur.
Dans la mesure où des données à caractère personnel sont traitées dans le cadre de l'utilisation de TRACE.Parser pour lesquelles vous êtes responsable du traitement en tant que client (notamment dans les profils de production téléchargés), nous concluons avec vous conformément à l'Art. 28 RGPD un accord sur le traitement des données (DPA) qui devient automatiquement partie intégrante de la relation contractuelle lors de la conclusion du contrat. L'Accord sur le Traitement des Données (DPA) - TRACE.Parser devient automatiquement partie intégrante de la relation contractuelle lors de la conclusion du contrat.
Dans la mesure où des données de personnes physiques sont également traitées dans le cadre de l'analyse de profils de production (par ex. pour des exploitants de petites installations) qui ne sont pas eux-mêmes contractants de TRACE Electricity, les règles suivantes s'appliquent : les personnes concernées reçoivent ces informations sur la protection des données par l'intermédiaire du client TRACE.Parser (notre donneur d'ordre) en tant que responsable du traitement. Les demandes directes peuvent être adressées à privacy@trace-electricity.com.
Si vous utilisez également TRACE.App ou le site web TRACE, les notices de protection des données sous Notice de Protection des Données - TRACE.App et la Déclaration de Confidentialité s'appliquent en supplément.
Sur notre page produit TRACE.Parser, nous utilisons le LinkedIn Insight Tag. Le fournisseur est LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irlande. Conjointement avec LinkedIn, nous sommes conjointement responsables de la collecte et de la transmission des données capturées par le biais de l'Insight Tag conformément à l'Art. 26 RGPD.
Base juridique : Art. 6, al. 1, lit. a RGPD (consentement). Vous pouvez vous opposer à la collecte dans notre bannière de cookies.
Point de contact pour les droits des personnes concernées conformément à l'Art. 26, al. 2 RGPD : TRACE Electricity GmbH, privacy@trace-electricity.com. Informations complémentaires : Politique de confidentialité LinkedIn.
Pour la connexion des utilisateurs, nous utilisons Auth0, un service d'Okta EMEA Limited, 1 Beckett Way, Park West Business Park, Dublin 12, Irlande.
Données traitées : adresse e-mail, hachage de mot de passe chiffré (bcrypt), horodatage de connexion, adresse IP, informations sur l'appareil (User-Agent), jeton de session, jeton de rafraîchissement, le cas échéant statut MFA.
Finalité : authentification sécurisée des utilisateurs, gestion des sessions et contrôle d'accès au service TRACE.
Base juridique : Art. 6(1)(b) RGPD (exécution du contrat).
Durée de conservation : pour la durée du compte utilisateur ; après la suppression du compte, les données côté Auth0 sont supprimées dans les 30 jours.
Lieu de traitement : UE (eu.auth0.com, AWS eu-west-1, Irlande). Aucun transfert vers des pays tiers n'a lieu, car le tenant UE d'Auth0 est utilisé.
Plus d'informations : okta.com/privacy-policy. Base du traitement pour compte : Art. 28 RGPD.
Note sur la structure du groupe : À titre de garantie subsidiaire en cas d'interaction du groupe avec la société mère américaine Okta, Inc. (San Francisco, USA), des clauses contractuelles types conformément aux CCT 2021/914 Module 4 (sous-traitant hors UE → responsable du traitement UE) ont été convenues.