Obligations du Client Le Client est seul responsable et garantit la qualité, la licéité et la pertinence des Données Client. Plus généralement, le Client est seul responsable des contenus et messages diffusés et/ou téléchargés et/ou partagés via les Services récurrents. Le Client demeure le seul propriétaire des Données Client transitant par les Progiciels. Il garantit, en outre, être titulaire des droits lui permettant de traiter et de faire traiter par le Prestataire les Données Client. Le Client garantit le Prestataire à première demande contre tout préjudice qui résulterait de la mise en cause du Prestataire par un tiers pour une violation de cette garantie. Le Client, en tant que Responsable du Traitement, garantit au Prestataire que le traitement en cause satisfait aux exigences de la Législation DCP, notamment que les DCP sont traitées de manière licite, loyale et transparente, qu’elles ont été collectées pour des finalités déterminées, explicites et légitimes et que l’information requise aux personnes concernées par le traitement a bien été fournie au moment de la collecte des DCP. A ce titre, le Client garantit le Prestataire contre tout recours, plainte ou réclamation émanant d’une personne physique dont les DCP seraient traitées par le Prestataire pour le compte du Client et, en conséquence, à indemniser le Prestataire de toute condamnation de ce chef. Dans ce cadre également, le Client s’engage à ne pas réclamer au Prestataire une quelconque réparation dans le cas où il aurait été amené à réparer l’intégralité du dommage causé. Le Client s’engage à documenter, par écrit, toute instruction concernant le traitement de DCP par le Prestataire. Il donne à ce titre instruction au Prestataire d’effectuer les traitements décrits dans l’Annexe du Contrat « Description du traitement des DCP ». Le Client s’engage également à mettre à la disposition du Prestataire toute information nécessaire pour la bonne exécution de la sous-traitance et notamment communique dans un délai de cinq (5) jours à compter de la signature de la Proposition Commerciale les coordonnées (nom, prénom, email) de son Délégué à la Protection des Données (ou du correspondant DCP le cas échéant). Le Client veille, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par la Législation DCP de la part du Prestataire, notamment au travers de la réalisation d’audits conformément à l’Article « Audit ».
Protection des données à caractère personnel Le GRD protège, collecte et traite les données à caractère personnel, conformément à la règlementation relative à la protection des données personnelles et, en particulier commu- niquées directement par le client ou via l’Exploitant (ou son mandataire) ou via le RPC à Enedis conformément à la loi n° 78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés, dite « Informatique et Libertés » et au règlement (UE) n°2016/679 du 27 avril 2016 (règlement général sur la protection des données). Il s’agit notamment du nom, prénom, civilité, adresse du PRM (Point de Référence Mesure), l’adresse postale et le cas échéant, des données complémentaires : mail du client et/ou son numéro de téléphone. Le GRD collecte plusieurs types d’informations par exemple, les index de consommation et la puissance souscrite qui font l’objet d’un traitement informatique afin de permettre au GRD d’assurer ses missions de service public telles que définies par le code de l’énergie, notam- ment en matière de comptage, d’exploitation, d’investissement et de développement du RPD ou d’intégration des énergies renouvelables. Les traitements effectués sur les données utilisées et produites par les compteurs commu- nicants sont encadrés par le Code de l’énergie. Certaines fonctionnalités de paramétrage sont proposées aux clients. Certaines données sont collectées par défaut. D’autres le sont avec accord du client : - par défaut, le GRD collecte les données de consommation journalière (consomma- tion globale du PRM sur une journée) pour permettre au client de consulter gratui- tement l’historique de ses consommations, conformément au Code de l’énergie. - les données de consommation fines (au pas de dix minutes) sont conservées par défaut, en local, dans la mémoire du compteur du client sans transmission au GRD ou au client ou à un tiers. En cas d’opposition du client à la collecte des données de consommation journalière et à la conservation en local des données de consommation fines, le client ne peut participer au Mécanisme de Capacité. Ces données de consommation fines (au pas de dix minutes) ne sont collectées par le GRD qu'avec le consentement libre, spécifique, éclairé et univoque du client ou, de manière ponctuelle lorsqu’elles sont nécessaires à l’accomplissement des missions de service pu- blic du GRD définies par le code de l’énergie. La transmission des données de consommation fines (au pas de dix minutes) au client ou à des tiers ne peut intervenir qu’avec l’accord/le consentement préalable libre, explicite, éclairé et univoque du client conformément à la législation sur la protection des données personnelles précitée. Cette autorisation peut être adressée soit directement au GRD, soit via l’Exploitant. Dans ce dernier cas, l’Exploitant s’engage à recueillir le consentement libre, spécifique, éclairé et univoque préalable du client et à en apporter la preuve sur simple demande du GRD. En cas de non réponse de justification du recueil du consentement sous un délai de dix (10) jours par l’Exploitant, à la première demande, Enedis interrompra immédiatement la trans- mission. Les données de consommation ne peuvent être conservées que pour une durée maximum de 24 mois. Le GRD peut être amené à conserver les données personnelles du client col- lectées par l’Exploitant et transmises au GRD (hors données de consommation) pendant toute la durée du présent contrat et pendant une période maximale de 5 ans à compter de la résiliation de ce contrat. Le client dispose d’un droit d’accès, de rectification d’opposition pour des motifs légitimes de la limitation du traitement et d’un droit à la portabilité des données à caractère personnel le concernant. Pour exercer son droit de rectification, et de suppression, de limitation du traitement et son droit à la portabilité pour les données collectées par l’Exploitant et transmises au GRD, le client contactera son Exploitant. L’Exploitant informera le GRD de l’actualisation des don- nées du client. Dans le cas où l’Exploitant prend également en charge la demande du client de rectification, de suppression, de limitation et à la portabilité pour les données collectées et utilisées par le GRD, l’Exploitant devra adresser sa demande au GRD. Le client peut exercer ce droit directement au GRD aux coordonnées précisées dans l’an- nexe 2 du Contrat. La demande doit préciser le nom et prénom, adresse actuelle et référence PRM du client accompagnée d’une pièce justificative d’identité. Dans le cas où le GRD reçoit une demande de la part du client de rectification, de suppres- sion, de limitation et à la portabilité pour les données collectées par le GRD exclusivement alors le GRD traite la demande du client et informe ce dernier qu’il doit s’adresser à son Exploitant pour les données contractuelles collectées par l’Exploitant. Dans le cas où le GRD reçoit une demande de la part du client de rectification, de suppres- sion, de limitation et à la portabilité pour les données collectées par l’Exploitant, le GRD informera le client par courrier que sa demande doit être adressée à l’Exploitant. Le client a le droit d’introduire une réclamation auprès de la CNIL. La collecte de certaines données est obligatoire, notamment l’identité ou la raison sociale et l’adresse du client, et permet au GRD d’assurer l’exécution du contrat pour l’accès et l’utilisation du RPD géré par le GRD. Par ailleurs, le GRD pourrait être amenée à collecter des informations complémentaires facultatives pour l’exécution du Contrat mais néanmoins nécessaires dans le cadre de l’exécution de ses missions de service public, comme l’adresse mail et le numéro de téléphone. Le droit d’opposition et de suppression ne peut être exercé par le client uniquement pour les données personnelles qui ne sont pas indispensables à l’exercice des obligations lé- gales du GRD.
Protection des données personnelles Le Prestataire collecte et traite toute Donnée personnelle en conformité avec la réglementation en vigueur applicable à la protection de ces Données, et notamment avec la loi n°78-17 du 6 janvier 1978 modifiée et avec le Règlement européen 2016/679 du Parlement européen et du Conseil du 27 avril 2016. Les Données personnelles requises lors de la souscription sont nécessaires dans le cadre des services fournis conformément aux présentes. En cas d’absence de fourniture des Données personnelles obligatoires, le demandeur pourra se voir refuser l’accès aux services. La Personne concernée est informée que les Données personnelles sont notamment collectées pour les finalités suivantes : la fourniture des services fournis tels que décrits aux présentes ; la lutte contre le blanchiment de capitaux et le financement du terrorisme ; le traitement des demandes d’information et réclamations ; la réalisation de statistiques. Ces traitements sont notamment nécessaires à l’exécution du Contrat-Cadre ainsi qu’au respect d'obligations légales auxquelles les responsables de traitement sont soumis. Le Prestataire et la Plateforme agissent en qualité de responsables conjoints de ces traitements. Les Données personnelles ne seront transmises à aucun tiers sans le consentement exprès des Personnes concernées. Toutefois, la Personne concernée est informée que les Données personnelles sont transmises à des sous-traitants du Prestataire, pour les besoins des finalités précitées. Lesdits sous-traitants n’agiront que sur instruction du Prestataire et exclusivement pour le compte de ces derniers. La Personne concernée peut accéder à la liste des sous-traitants en transmettant sa demande au Service client de la plateforme. Elle est informée que le Prestataire s’assure que ses sous-traitants prennent toutes les mesures nécessaires afin de préserver la sécurité et la confidentialité des Données personnelles. En cas de survenance d’une violation de Données (perte, intrusion, destruction…) impliquant des risques élevés pour la Personne concernée, cette dernière en sera informée. Le Prestataire se réserve le droit de divulguer des Données personnelles sur requête d’une autorité légale pour se conformer à toute loi ou réglementation en vigueur, pour protéger ou défendre les droits du titulaire du Compte ou d’une Personne concernée, si des circonstances impérieuses le justifient ou pour protéger la sécurité du titulaire, des Services ou du public. Les Données personnelles traitées par le Prestataire dans le cadre des services fournis conformément aux présentes sont conservées pendant la durée strictement nécessaire pour atteindre les finalités mentionnées ci-dessus. Sauf disposition contraire légale et réglementaire, les Données ne seront pas conservées au-delà de la date d’effet de la résiliation du Contrat. Il est notamment précisé que les Données personnelles relatives à l’identification sont conservées pendant une durée de cinq ans à compter de la fin de la relation contractuelle, en vertu de la réglementation applicable en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme. Les Personnes concernées disposent des droits suivants sur leurs Données, selon les conditions prévues par la réglementation : droit d’accès, droit de rectification, droit d’opposition, droit à l’effacement, droit à la limitation du traitement et droit à la portabilité. Une Personne concernée peut à tout moment exercer ses droits en s’adressant au Service client de la Plateforme. Sa demande devra indiquer ses nom, prénom, et identifiant, et être accompagnée de la photocopie d’un document d’identité portant sa signature. Une réponse sera adressée à la Personne concernée dans un délai d’un (1) mois suivant la réception de sa demande. Ce délai pourra être prolongé de deux (2) mois, compte tenu de la complexité et du nombre de demandes. Dans ce cas, la Personne concernée sera informée de la prolongation et des motifs du report dans un délai d'un (1) mois à compter de la réception de la demande. La Personne concernée est informée qu’elle dispose du droit d’introduire une réclamation auprès de l’autorité compétente pour toute demande en lien avec ses Données personnelles. Si la Personne concernée présente sa demande sous une forme électronique, la réponse lui sera fournie par voie électronique, à moins qu’elle ne demande expressément qu'il en soit autrement. Lorsque les Données personnelles sont relatives à une Personne concernée n’étant pas partie au Contrat- Cadre et ont été transmises par le Titulaire, ce dernier fait son affaire de communiquer à la Personne concernée les informations du présent article. Des informations complémentaires sur les traitements de Données personnelles réalisés dans le cadre des présentes, les durées de conservation et sur les droits des Personnes concernées sont disponibles dans la politique de confidentialité du Prestataire (accessible sur le site xxx.xxxxxxxx.xxx).
