Politique de Confidentialité et Protection des Données Personnelles
Dernière mise à jour : 17 mars 2026
Application concernée : Portail CEE (Certificats d'Économies d'Énergie)
Contact DPO / RGPD : [email protected]
1. Objet
La présente politique de confidentialité décrit les conditions dans lesquelles APAVE, en qualité de responsable de traitement, collecte et traite les données à caractère personnel des utilisateurs du Portail CEE, conformément au Règlement Général sur la Protection des Données (Règlement UE 2016/679, ci-après « RGPD ») et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.
2. Données personnelles collectées
Dans le cadre de l'utilisation du Portail CEE, les catégories de données suivantes sont collectées :
| Catégorie | Données concernées | Source |
|---|---|---|
| Identification | Nom, prénom, adresse e-mail, fonction | Création de compte / Azure AD B2C |
| Coordonnées professionnelles | Téléphone, nom de la société, SIREN/SIRET | Saisie utilisateur / Dataverse |
| Données de dossiers CEE | Adresse du site, nom du bénéficiaire, coordonnées du bénéficiaire | Saisie utilisateur / Import |
| Données de connexion | Adresse IP, horodatage de connexion, identifiant utilisateur | Collecte automatique |
| Données de session | Identifiant de compte, rôle, préférences de navigation | Collecte automatique |
| Messages et pièces jointes | Contenu des échanges via la messagerie interne, documents joints | Saisie utilisateur |
3. Finalités et bases légales du traitement
| Finalité | Base légale (Art. 6 RGPD) |
|---|---|
| Gestion des dossiers de Certificats d'Économies d'Énergie | Exécution du contrat (Art. 6.1.b) |
| Authentification et gestion des accès utilisateurs | Exécution du contrat (Art. 6.1.b) |
| Communication par messagerie interne et e-mail | Exécution du contrat (Art. 6.1.b) |
| Planification et suivi des interventions de contrôle | Exécution du contrat (Art. 6.1.b) |
| Facturation et gestion administrative | Obligation légale (Art. 6.1.c) |
| Sécurité de l'application (journaux de connexion) | Intérêt légitime (Art. 6.1.f) |
| Analyse et amélioration du service | Intérêt légitime (Art. 6.1.f) |
4. Destinataires des données
Les données personnelles peuvent être communiquées aux catégories de destinataires suivantes :
4.1 Destinataires internes
- Personnel APAVE habilité (administrateurs, ADV, contrôleurs, direction technique)
4.2 Sous-traitants (Art. 28 RGPD)
| Sous-traitant | Service fourni | Localisation |
|---|---|---|
| Microsoft Azure | Hébergement, authentification (Azure AD B2C), base de données (Dataverse), stockage | Union Européenne |
| SendGrid (Twilio) | Envoi d'e-mails transactionnels | États-Unis (clauses contractuelles types) |
| ERMEO | Gestion des interventions et rapports de contrôle | France |
| Certigna | Signature électronique de documents PDF | France |
| Cloudflare | Protection et accélération du trafic web (CDN / proxy) | International (clauses contractuelles types) |
| OpenStreetMap | Affichage cartographique (tuiles de carte) | International (données ouvertes, pas de données personnelles transmises) |
4.3 Tiers autorisés
- Autorités administratives compétentes (PNCEE, DGEC) dans le cadre des obligations légales liées aux CEE
5. Transferts de données hors Union Européenne
Certains sous-traitants (SendGrid/Twilio, Cloudflare) peuvent traiter des données en dehors de l'Union Européenne. Ces transferts sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne, ou par le cadre EU-US Data Privacy Framework lorsque applicable, conformément aux articles 46 et 49 du RGPD.
6. Durée de conservation
| Type de données | Durée de conservation | Justification |
|---|---|---|
| Dossiers CEE et documents associés | 10 ans après clôture du dossier | Obligations réglementaires CEE et prescription civile |
| Données d'identification des utilisateurs | 10 ans après la dernière activité | Cohérence avec la durée de conservation des dossiers |
| Journaux de connexion (logs) | 1 an | Obligations légales (LCEN) et sécurité informatique |
| Messages et pièces jointes | 10 ans | Traçabilité des échanges liés aux dossiers CEE |
| Cookies de session | 30 minutes d'inactivité | Fonctionnement technique de l'application |
| Données de facturation | 10 ans | Obligations comptables et fiscales |
7. Cookies et technologies similaires
Le Portail CEE utilise exclusivement des cookies strictement nécessaires au fonctionnement de l'application :
| Cookie | Finalité | Durée |
|---|---|---|
| Cookie de session ASP.NET Core | Maintien de la session utilisateur authentifié | 30 minutes d'inactivité |
| Cookie d'authentification OpenID Connect | Processus de connexion Azure AD B2C | Durée de la session d'authentification |
Ces cookies sont essentiels et ne nécessitent pas de consentement préalable (article 82 de la loi Informatique et Libertés). Aucun cookie de traçage publicitaire ou analytique n'est utilisé.
8. Sécurité des données
APAVE met en œuvre les mesures techniques et organisationnelles suivantes pour garantir la sécurité des données :
- Chiffrement en transit : toutes les communications utilisent le protocole HTTPS (TLS) avec HSTS activé
- Authentification forte : gestion des identités via Azure AD B2C avec politiques de mots de passe sécurisés
- Contrôle d'accès : gestion des rôles et autorisations (RBAC) avec principe du moindre privilège
- Protection contre les attaques : en-têtes de sécurité (CSP, X-Frame-Options, X-Content-Type-Options), limitation de débit (rate limiting)
- Gestion des secrets : stockage sécurisé des clés et mots de passe dans Azure Key Vault
- Cookies sécurisés : attributs HttpOnly, Secure et SameSite appliqués
- Protection contre les injections : validation et assainissement des entrées (OData, formulaires)
- Hébergement sécurisé : infrastructure Microsoft Azure avec certifications ISO 27001, SOC 2
9. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (Art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie
- Droit de rectification (Art. 16 RGPD) : faire corriger des données inexactes ou incomplètes
- Droit à l'effacement (Art. 17 RGPD) : demander la suppression de vos données, sous réserve des obligations légales de conservation
- Droit à la limitation du traitement (Art. 18 RGPD) : demander la suspension du traitement dans certains cas
- Droit à la portabilité (Art. 20 RGPD) : recevoir vos données dans un format structuré et lisible par machine
- Droit d'opposition (Art. 21 RGPD) : vous opposer au traitement fondé sur l'intérêt légitime
Comment exercer vos droits ?
Vous pouvez exercer vos droits en adressant votre demande, accompagnée d'une copie d'un justificatif d'identité, à :
Contact RGPD : [email protected]
Objet : « Exercice de droits RGPD - Portail CEE »
APAVE s'engage à répondre à votre demande dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires en cas de demandes complexes ou nombreuses.
10. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : www.cnil.fr
- Par courrier : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
11. Modifications de la politique
APAVE se réserve le droit de modifier la présente politique de confidentialité à tout moment. Les utilisateurs seront informés de toute modification substantielle par notification dans l'application. La date de dernière mise à jour est indiquée en haut de cette page.