Enerfip, dans le cadre de son activité de prestataire européen de services de financement participatif, traite les données personnelles de ses clients, investisseurs personnes physiques et dirigeants ou bénéficiaires effectifs des Porteurs de Projets.Dans le cadre de l'entrée en vigueur le 25 mai 2018 du Règlement UE 2016/679 du Parlement européen et du conseil du 27 avril 2016 (le « Règlement Général pour la Protection des Données »), Enerfip (« le PSFP ») a souhaité clarifier sa politique interne de traitement des données à caractère personnel. Les termes utilisés dans la procédure ont le sens qui leur est donné par le Règlement Général pour la Protection des Données, et dans la Convention de prestation de service signée avec les investisseurs. Compte tenu de la nature, de la portée, du contexte et des finalités des traitements mis en oeuvre par Enerfip ainsi que des risques pour les droits et libertés des personnes physiques, Enerfip met en oeuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées lorsque nécessaire.
Enerfip s'assure que les traitements de données à caractère personnel réalisés par Enerfip sont :
Enerfip collecte, avec le consentement des investisseurs personnes physiques, des données à caractère personnel les concernant.
Enerfip collecte l'adresse IP des visiteurs de son site.
Enerfip recueille le prénom, le nom de famille, l'adresse e-mail et le mot de passe, des Investisseurs enregistrés.
Conformément aux règlementations concernant la lutte contre le blanchiment et le financement du terrorisme, Enerfip recueille les informations d'identification des Investisseurs Approuvés. Sont ainsi collectés deux justificatifs d'identité (carte nationale d'identité ou passeport notamment et en accord avec la liste fournie par notre Prestataire de Service de Paiement). Dans certains cas, un justificatif de domicile de moins de trois mois des Investisseurs est également collecté dans le cadre de levées de fonds réservées aux riverains du projet, assujetties au cahier des charges de la Commission de Régulation de l’Energie. Conformément aux obligations relatives au prestataire européen de services de financement participatif auxquelles elle est soumise, Enerfip recueille, dans le questionnaire financier, les informations relatives à la situation financière, aux connaissances, à l'expérience et aux objectifs financiers de l'Investisseur Approuvé. Conformément aux obligations relatives aux bulletins de souscription, et à la tenue des registres des Emetteurs lorsqu’elle réalise cette prestation optionnelle, Enerfip recueille les informations relatives à l'investissement des Investisseurs Approuvés.
En vue de fournir aux Porteurs de projet le service de prestataire européen de services de financement participatif, Enerfip recueille (i) un justificatif d'identité, un justificatif de domicile et un curriculum vitae du dirigeant du Porteur de Projet, (ii) un justificatif d'identité et un justificatif de domicile des personnes détenant, directement ou indirectement, plus de 25% du capital ou des droits de vote du Porteur de Projet ou exerçant, par d'autres moyens, un pouvoir de contrôle sur les organes de gestion, d'administration ou de direction ou sur l'assemblée générale des associés ou actionnaires du Porteur de Projet.
Enerfip recueille le consentement de l'investisseur au traitement de données à caractère personnel le concernant (demande de cocher la case « Oui » à la question « Autorisez-vous Enerfip à collecter certaines données à caractère personnel telles que définies dans notre politique de Confidentialité ci-dessous ? »).
Enerfip s'assure que le consentement des investisseurs est recueilli de façon libre, éclairée et univoque.
La preuve de ce consentement est archivée automatiquement par Enerfip dans l'espace personnel du client (nominatif pour les Investisseurs, ou relié à une adresse IP pour les Visiteurs).
Enerfip met en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données adapté au risque, et notamment :
Enerfip procède une fois par an à un audit interne afin d'évaluer la sécurisation des données à caractère personnel collectées.
En sa qualité de prestataire européen de services de financement participatif, Enerfip a choisi de ne pas détenir les fonds investis par les Investisseurs, et a recours pour ce faire à son Prestataire de Service de Paiement (ou Partenaire Bancaire).
Dans ce cadre, Enerfip sous-traite certains traitements de données à son Partenaire Bancaire. Le Partenaire Bancaire a donc accès à certaines données à caractère personnel des investisseurs (noms, prénoms, adresse, mail, justificatifs d'identité et à son adresse IP utilisée lors de son dernier investissement).
Enerfip, en sa qualité de responsable de traitement, et le Partenaire Bancaire, en sa qualité de sous-traitant, respectent les obligations applicables au titre de la règlementation.
Enerfip s'assure que le Partenaire Bancaire dispose des moyens techniques et organisationnels conformes aux exigences de la règlementation et garantissant la protection des droits des clients d'Enerfip.
Sont fournies à chaque investisseur :
Par ailleurs et conformément à la réglementation nationale et européenne applicable, les données personnelles des investisseurs peuvent être transmises aux autorités publiques dans le cadre d'une mission d'enquête particulière.
Enerfip est en charge du traitement des demandes d'accès, de rectification, d'effacement, de limitation de traitement, de portabilité ou d'opposition des personnes dont les données à caractère personnel sont collectées.
Il notifie à chaque destinataire à qui les données à caractère personnel ont été communiquées toute rectification, effacement ou limitation de traitement effectuée.
Enerfip traite les demandes d'accès et fournit les informations suivantes :
Enerfip s'assure qu'est fournie à la personne concernée une copie des données à caractère personnel faisant l'objet d'un traitement.
Ainsi, conformément à la réglementation, un utilisateur peut, sur simple demande, par tout moyen, obtenir une copie de ses données personnelles en notre possession set dans un délai de réception conforme avec la règlementation en vigueur. Une automatisation a été mise en place sur ce type de demande.
Enerfip demande le paiement de dix (10) euros pour toute copie supplémentaire demandée par la personne concernée.
Conformément à ses obligations règlementaires, Enerfip met régulièrement à jour les données à caractère personnel des Investisseurs.
Sur exercice de son droit de rectification par la personne concernée, Enerfip rectifie, dans les meilleurs délais, les données à caractère personnel inexactes.
Sur fourniture d'une déclaration complémentaire, Enerfip complète les données à caractère personnel incomplètes.
Enerfip informe la personne concernée de ce que son droit de rectification ou de complément s'applique sans préjudice de son obligation de fournir uniquement des informations exactes et complètes à Enerfip, et qu'Enerfip ne peut être tenue responsable des conséquences éventuelles de la fourniture d'informations inexactes par l'Investisseur, notamment dans ses réponses aux questionnaire financier et dans les bulletins de souscription signés.
Enerfip traite, dans les meilleurs délais, les demandes d'effacement des personnes concernées.
Il accepte notamment ces demandes lorsque les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées.
Il informe la personne concernée qu'il ne peut accepter sa demande, au regard des finalités du traitement, lorsque le contrat de prestataire de services en financement participatif est encore en vigueur, ou lorsque la durée de cinq (5) ans pendant laquelle Enerfip est légalement tenue de conserver les données à caractère personnel de ses clients n'est pas expirée.
Enerfip s'assure que la limitation du traitement des données à caractère personnel est mise en oeuvre lorsque :
En cas de limitation de traitement, Enerfip s'assure que les données à caractère personnel ne sont, à l'exception de la conservation, traitées qu'avec le consentement de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice, ou pour la protection des droits d'une autre personne physique ou morale, ou encore pour des motifs importants d'intérêt public de l'Union ou d'un État membre.
Enerfip informe la personne concernée avant que la limitation du traitement ne soit levée.
Enerfip s'assure que les données à caractère personnel relatives à un investisseur sont conservées sur un support durable.
Enerfip conserve notamment une copie des réponses fournies au questionnaire financier, et des bulletins de souscription signés par un Investisseur.
Ces données sont fournies à la personne concernée sur simple demande de celle-ci.
En cas de cessation de son activité par Enerfip, celle-ci fait ses meilleurs efforts, sur demande de la personne concernée, pour que les données à caractère personnel soient directement transmises aux personnes assurant la reprise de l'activité d'Enerfip.
Lorsque Enerfip reçoit une demande d'opposition au traitement de ses données par un investisseur, il l'informe qu'il ne peut y donner suite, les données traitées l'étant en vue de permettre l'exécution d'un contrat et du fait d'obligations légales et règlementaires.
Lorsque Enerfip reçoit une demande d'opposition au traitement de ses données par un internaute dont les données sont traitées à des fins de prospection, il s'assure que ces données ne soient plus traitées à ces fins.
Enerfip tient un registre des activités de traitement effectués sous sa responsabilité. Ce registre comprend :
Ce registre est mis à jour deux fois par an par le délégué à la protection des données, qui est en mesure de le présenter à l'autorité compétente en cas de contrôle.
Enerfip dispose d'une politique de confidentialité sur son site web, qui peut être consultée librement.