Compagnie Ivoirienne d'Electricité

Chargement du contenu ...

POLITIQUE DE PROTECTION DES DONNÉES

POLITIQUE DE PROTECTION DES DONNEES PERSONNELLES

1. Préambule

1.1.Exploiter les moyens de production, de transport, de distribution, d’importation et d’exportation de l’énergie électrique sur l’ensemble du territoire de la Côte d’Ivoire, telle est la mission de la Compagnie Ivoirienne d'Electricité, (en abrégé « CIE »). Dans le cadre de ses différentes activités, la CIE collecte et traite des Données Personnelles relatives à ses parties prenantes (salariés, clients, prestataires, banques, actionnaires, organisations syndicales, etc.).

1.2.En tant qu'organisation qui traite des Données Personnelles, la CIE reconnaît qu'il est primordial d’en contrôler la collecte, la conservation, l'utilisation et la destruction afin de se conformer à la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel en Côte d’Ivoire. A ce titre, la CIE a désigné un Correspondant à la Protection des Données couramment nommé « Data Protection Officer » (en abrégé « DPO »), pour assurer sa conformité à la règlementation applicable en matière de Protection des Données Personnelles.

1.3.A travers la présente Politique de Protection des Données Personnelles (ci-après, la « Politique »), la CIE s’engage à mettre en œuvre des mesures techniques et organisationnelles permettant de garantir le traitement équitable, transparent, licite et adéquat des Données Personnelles.

1.4.La Politique traduit l’ensemble des engagements pris par la CIE en matière de protection des Données Personnelles.

2. Définitions

Autorité de Protection:

désigne l’Autorité administrative indépendante chargée de veiller à la mise en œuvre des traitements des données à caractère personnel conformément aux dispositions des législations relatives à la protection des données à caractère personnel (loi n°2013-450 du 19 juin 2013 en Côte d’Ivoire).

Correspondant / Délégué à la Protection des Données (Data Protection Officer, DPO):

désigne la personne en charge de contrôler la conformité aux Législations sur la Protection des Données. Le Délégué à la Protection des Données est associé à toutes les questions relatives à la protection des Données Personnelles, notamment en cas de nouveau projet entraînant la collecte, la conservation et/ou l’utilisation de Données Personnelles. Il assure un rôle de conseil et d’alerte. Il est également l’interlocuteur spécialisé et privilégié des Autorités de Protection compétentes en matière de protection des Données Personnelles et des Personnes Concernées, notamment lorsque ces dernières souhaitent exercer les droits qu’elles détiennent en vertu des Législations sur la Protection des Données.

Données Personnelles ou Données à caractère personnel :

désignent toute information sur une Personne Concernée qui l'identifie ou qui permet de l'identifier, éventuellement en conjonction avec d'autres informations détenues. Les Données Personnelles sont définies de manière très large et incluent des éléments tels que le nom, l'adresse géographique, l'adresse électronique (y compris dans un contexte professionnel, les adresses électroniques au format nomprénom@cie.ci), l'adresse IP, le numéro de téléphone personnel ainsi que des catégories de données plus sensibles comme l'appartenance syndicale, les données génétiques et les croyances religieuses. Ces types de données plus sensibles appelés « Catégories Particulières de Données Personnelles » définis ci-dessus bénéficient d'une protection supplémentaire en vertu des Législations sur la Protection des Données.

Catégories Particulières de Données Personnelles :

désignent les Données Personnelles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques (c'est-à-dire les informations sur les caractéristiques génétiques héritées ou acquises), les données biométriques (c'est-à-dire les informations sur les caractéristiques physiques, physiologiques ou comportementales telles que les images faciales et les empreintes digitales), la santé physique ou mentale, la vie sexuelle ou l'orientation sexuelle et le casier judiciaire. Les Catégories Particulières de Données Personnelles sont soumises à des contrôles supplémentaires par rapport aux Données Personnelles ordinaires.

Données sensibles :

désignent une catégorie particulière de données personnelles; ce sont toutes les données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, la vie sexuelle ou l’orientation sexuelle, la santé, les poursuites, les sanctions pénales ou administratives, les données génétiques, les données biométriques traitées aux fins d’identifier une personne physique de manière unique.

Traitement des Données Personnelles ou Traitement :

désigne toute opération ou ensemble d’opérations appliquées à des Données Personnelles (par exemple : collecte, éventuellement enregistrement, conservation, consultation ou destruction de Données Personnelles).

  

Responsable du Traitement :

désigne le responsable du traitement de données à caractère personnel, à savoir la personne, l'autorité publique, la société ou l'organisme qui, seul ou conjointement avec d’autres, décide de la création du traitement; il en détermine les finalités et les moyens. En pratique, il s'agit généralement de la personne morale (ou son représentant légal) sur laquelle pèse la charge des exigences légales à respecter, notamment les formalités à accomplir auprès de l’Autorité de Protection.

Sous-Traitant :

désigne un tiers extérieur à l’entreprise qui traite les données à caractère personnel pour le compte du Responsable du Traitement.

Personne Concernée :

Les personnes physiques qui peuvent être identifiées, directement ou indirectement, à partir des informations dont dispose la CIE. Par exemple, une personne concernée peut être identifiée directement par son nom ou indirectement par son sexe, son emploi et sa société. Les Personnes Concernées englobent l’ensemble des parties prenantes de la CIE.

Législations sur la Protection des Données :

désignent en Côte d’Ivoire, l’ensemble des lois et règlements relatifs aux Données Personnelles, notamment la loi n°2013-450 relative à la protection des données à caractère personnel. En Europe, le Règlement Général sur la Protection des Données (RGPD, Règlement (UE) 2016/679 du 27 avril 2016) et toutes les lois applicables en matière de collecte, de conservation et d'utilisation des Données Personnelles et de protection de la vie privée et tous les codes de bonnes pratiques applicables émanant d’une Autorité de Contrôle.

3. Utilisation licite des Données Personnelles

3.1.La CIE s’engage à uniquement traiter les Données Personnelles de manière licite. Ainsi, pour chaque Traitement mis en œuvre, la CIE aura préalablement identifié la base juridique sur laquelle se fonde celui-ci. Cette base juridique est portée à la connaissance des Personnes Concernées lors de la collecte des Données Personnelles.

3.2.Par ailleurs, lorsque la CIE collecte, conserve et utilise des Catégories Particulières de Données Personnelles, elle s’assure de respecter les conditions légales supplémentaires requises.

3.3.La CIE s’engage également à collecter les Données Personnelles pour des finalités déterminées, explicites et légitimes. En aucun cas, les Données Personnelles collectées ne sauraient être ultérieurement traitées d’une manière incompatible avec les finalités initialement établies.

4. Traitement loyal et transparent

4.1.Lorsque la CIE recueille des Données Personnelles directement auprès des Personnes Concernées, la CIE s’engage à les informer des conditions dans lesquelles leurs Données Personnelles sont traitées.

4.2.Ainsi, pour chaque Traitement de Données Personnelles, la CIE communique aux Personnes Concernées, à minima, les informations suivantes :

  • l’identité et les coordonnées du Responsable du Traitement ;
  • les coordonnées du Correspondant à la Protection des Données ;
  • la finalité pour laquelle les Données Personnelles sont traitées ;
  • la base juridique du Traitement des Données Personnelles ;
  • le caractère facultatif ou obligatoire de la fourniture des Données Personnelles, et les conséquences éventuelles d’un défaut de fourniture ;
  • les destinataires ou les catégories de destinataires des Données Personnelles ;
  • la durée de conservation des Données Personnelles, ou en cas d’impossibilité, les critères permettant de la déterminer ;
  • l’existence et les modalités d’exercice des droits que détiennent les Personnes Concernées sur leurs Données Personnelles ;
  • l’existence du droit d’introduire une réclamation auprès de l’Autorité de Protection des données compétente ;
  • le cas échéant, l’existence d’une prise de décision automatisée ;
  • le cas échéant, les transferts de Données Personnelles effectués à destination d’un pays situé hors de la CEDEAO.

4.3.Si la CIE reçoit des Données Personnelles d’une autre source que la Personne Concernée elle-même, cette source informera la CIE des conditions dans lesquelles ses Données Personnelles sont traitées. Cette information sera fournie dès que cela sera raisonnablement possible et en tout état de cause dans un délai d'un (1) mois.

4.4.Si la CIE modifie la façon dont elle traite les Données Personnelles, elle s’engage à en informer les Personnes Concernées dans les meilleurs délais.

5. Qualité des Données Personnelles

5.1.La CIE s’engage à collecter uniquement les Données Personnelles qui sont strictement nécessaires et pertinentes au regard des finalités poursuivies par les Traitements mis en œuvre. Lors des collectes de Données Personnelles, les données obligatoires et les données facultatives seront clairement identifiées comme telles, permettant ainsi aux Personnes Concernées de conserver la maîtrise sur leurs Données Personnelles.

5.2. La CIE veille à ce que les Données Personnelles traitées soient enregistrées avec exactitude, qu’elles soient tenues à jour et qu’elles soient rectifiées ou effacées en cas de nécessité. Cela se traduit par :

  • une vigilance permanente des membres de la CIE ;
  • la possibilité laissée aux Personnes Concernées d’entrer en contact avec la CIE afin de demander la rectification de leurs Données Personnelles.

6. Conservation limitée des Données Personnelles

6.1.La CIE s’engage à conserver les Données Personnelles uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées.

6.2.La CIE doit également conserver les Données Personnelles pour respecter les obligations légales auxquelles elle est soumise ou parce qu’elles sont nécessaires à la constatation, l’exercice ou la défense de droits en justice. Dans ce contexte, les Données Personnelles ne seront pas conservées au-delà des durées de conservation légales et des délais de prescriptions applicables.

7. Communication et transferts de Données Personnelles

7.1.La CIE s’engage à mettre en œuvre une politique d’habilitation afin de s’assurer que seules les personnes autorisées et ayant une réelle légitimité accèdent aux Données Personnelles collectées et traitées.

7.2.Lorsque la CIE fait appel aux services de prestataires (« Sous-traitants ») pour traiter des Données Personnelles en son nom et pour son compte, les Sous-traitants sont soumis au respect d’obligations strictes afin de s’assurer que les Données Personnelles sont traitées de manière sécurisée et conforme. Au sein des engagements contractuels conclus, la CIE se réserve notamment le droit de réaliser des audits, afin de s’assurer du respect des obligations par ses Sous-traitants.

7.3.Dans la mesure où la CIE procède à des transferts de Données Personnelles vers un pays situé hors de la CEDEAO, elle s’engage à :

  • encadrer juridiquement le transfert des Données Personnelles, en soumettant un dossier de demande d’autorisation de transfert de données auprès de l’Autorité de Protection compétente ;
  • informer les Personnes Concernées de l’existence du transfert et des garanties encadrant celui-ci.

8. Sécurité des Données Personnelles

8.1.La CIE, qui accorde une grande importance à la sécurité des Données Personnelles, a mis en place des mesures de sécurité techniques et organisationnelles contre tout traitement illégal ou non autorisé, toute perte accidentelle, détérioration, modification ou altération non autorisée de Données Personnelles.

8.2.Les procédures et les mesures de sécurité physiques et logiques mises en place sont adaptées en fonction du degré de sensibilité des Données Personnelles, afin qu’elles soient traitées de manière sécurisée de leur collecte jusqu'à leur destruction.

8.3.A ce titre, la CIE dispose d’un Responsable de Sécurité des Systèmes d’Information (RSSI), qui définit et met en œuvre la politique de sécurité.

9. Respect des droits des Personnes Concernées

9.1.La CIE s’engage à respecter l’intégralité des droits dont disposent les Personnes Concernées en vertu des Législations sur la Protection des Données. Ainsi, à tout moment, les Personnes Concernées peuvent contacter la CIE afin de :

  • demander l’accès aux Données Personnelles que la CIE détient à leur sujet ;
  • faire rectifier les Données Personnelles inexactes que la CIE détient à leur sujet ;
  • faire effacer les Données Personnelles dans certaines conditions ;
  • demander la limitation du traitement de leurs Données Personnelles ;
  • s’opposer au traitement, y compris s’opposer à la prospection ou demander si la CIE a un intérêt légitime pour le Traitement ;
  • se voir fournir les Données Personnelles, dans certaines circonstances, dans un format électronique couramment utilisé et réutilisable ;
  • retirer leur consentement à l’utilisation de leurs Données Personnelles lorsque leur Traitement est fondé sur celui-ci ;
  • faire connaître leurs directives quant au sort de leurs Données Personnelles après leur décès.

9.2.La CIE s’assure qu'elle permet aux Personnes Concernées d'exercer leurs droits en les informant des modalités d’exercice de ces derniers au moment de la collecte des Données Personnelles.

9.3.Toute demande d’exercice de droits doit être adressée au Correspondant à la Protection des Données de la CIE en joignant une copie d’une pièce d’identité :

  • Par email : privacyCIE@cie.ci
  • Par voie postale : DPO CIE, 01 BP 6923 Abidjan 01

9.4.La CIE s’engage à répondre aux demandes dans les meilleurs délais, et en tout état de cause, sans dépasser le délai d’un (1) mois prévu par les Législations sur la Protection des Données, à compter de leur réception. Ce délai pourra cependant être prolongé de deux (2) mois supplémentaires si cela s’avère nécessaire au regard de la complexité et du nombre de demandes reçues.

10. Mise à jour de la Politique

10.1.La présente version de la Politique a été rédigée et validée par le Correspondant à la Protection des Données de la CIE le 09 avril 2021. Elle est susceptible d’être modifiée ou aménagée à tout moment, notamment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de l’Autorité de Protection ou des usages.