Politique de confidentialité CSA Connect - Reality Mine

 

La présente politique de confidentialité (ci-après la « Politique de confidentialité ») a pour objet de définir les conditions dans lesquelles la société CSA, Société Anonyme au capital de 1 850 461,60 euros, immatriculée au Registre du Commerce et des Sociétés de Nanterre, sous le n°308 293 430, et dont le siège social est situé 2 Bis rue Godefroy – 92800 PUTEAUX, et la société Reality Mine Ltd dont le siège social est situé à Warren Bruce Court, Warren Bruce Road, Manchester, M17 1LB, United Kingdom et enregistrée au registre des sociétés sous le numéro 07920936, vont être amenées à collecter et à traiter des données à caractère personnel des utilisateurs (ci-après désignés ensemble les « Utilisateurs » et individuellement « l’Utilisateur ») de l’application « Reality Meter » (ci-après désignée « l’Application ») dans les conditions définies dans les Conditions Générales d’Utilisation accessibles ici.

Les traitements des données à caractère personnel des Utilisateurs seront réalisés par CSA en qualité de responsable de traitement, et par Reality Mine Ltd en qualité de sous-traitant (ci-après désigné le Sous-traitant), dans le cadre du programme « CSA Connect » mis en œuvre par CSA sur la période du 25 août 2023 au 15 décembre 2023 (ci-après désigné le « Programme ») et proposé à une sélection de panélistes appartenant au panel géré par CSA, et dont l’objet est de permettre à CSA de mieux connaitre les habitudes de navigation et de consommation de ceux-ci pendant la coupe du Monde de Rugby 2023.

La présente Politique de confidentialité et les Conditions Générales d’Utilisation de l’Application constituent ensemble le contrat (ci-après désignées les « Conditions Générales ») auxquelles sont soumis les Utilisateurs lors du téléchargement et de l’utilisation de l’Application et ce jusqu’à la fin du Programme ou de la date de désactivation de l’Application selon la date la plus récente. Le téléchargement et l’utilisation de l’Application, et de manière générale la participation au Programme, implique l’acceptation sans réserve par les Utilisateurs des dispositions prévues dans la présente Politique de confidentialité et dans les Conditions Générales. Les termes avec une majuscules figurant dans les Conditions Générales ont la même signification dans la Politique de confidentialité.

Les dispositions de la Politique de confidentialité détaillent la manière dont CSA, et son Sous-traitant collectent et traitent les données à caractère personnel qui auront été collectées par le biais de l’Application, et ce dans les conditions définies ci-après.

La dernière version en vigueur de la Politique de confidentialité est accessible en permanence sur le site internet de CSA accessible via l’URL suivante : https://panel.csalink.eu/  via l’onglet « CSA Connect » et peut être consultée à tout moment par les Utilisateurs.

L’installation de l’Application par l’Utilisateur et la poursuite de son utilisation vaudra acceptation expresse de la dernière version de la Politique de confidentialité et/ou des Conditions Générales d’Utilisation et/ou de leurs éventuelles mises à jour.

L’Utilisateur qui ne souhaiterait pas accepter et/ou soumettre son utilisation de l’Application à toute ou partie des Conditions Générales ou de la Politique de confidentialité, doit renoncer à utiliser l’Application.

Les modalités d’installation et de fonctionnement de l’Application sont détaillées à l’article 2 des Conditions Générales d’Utilisation.

1. Le Délégué à la protection des données à caractère personnel désigné par CSA

Pour veiller à la bonne application de la Politique de confidentialité et à la conformité des traitements réalisés par CSA et son Sous-traitant dans le cadre de l’utilisation de l’Application et la mise en œuvre du Programme, CSA, en sa qualité de responsable de traitement, a désigné un Délégué à la protection des données (DPD ou DPO), M. Laurent Faudot, que les Utilisateurs peuvent contacter à l’adresse email suivante : dpo.csa@csa.eu.

Ses missions consistent à veiller à la conformité et la sécurité des traitements des données à caractère personnel réalisés par CSA dans le cadre de l’Application et du Programme et être un interlocuteur privilégié, tant au sein de CSA, que vis-à-vis de la Commission Nationale de l’Informatique et des libertés (CNIL).

 

2. Description des traitements de données à caractère personnel des Utilisateurs réalisés par CSA

2.1 Quelles sont les catégories de données à caractère personnel des Utilisateurs qui sont traitées par CSA et son Sous-traitant ?

Les données à caractère personnel qui sont collectées via l’Application et qui sont traitées par CSA et son Sous-traitant dans le cadre du Programme sont les suivantes (ci-après désignées les « Données à caractère personnel » et/ou les Données ») :

- Les données de contact de l’Utilisateur : l'adresse email et le numéro de téléphone de l’Utilisateur ;

- Les données techniques, à savoir :

  • Les données de navigation en ligne : l’Application collecte et enregistre les sites internet que les Utilisateurs visitent et les applications mobiles utilisées par les Utilisateurs, y compris les sites/applications d'actualités ou les réseaux sociaux, ainsi que l’ensemble des actions et/ou interactions des Utilisateurs avec lesdits sites internet ou applications mobiles.

 

  • Les activités en ligne de l’Utilisateur : l’Application collecte et enregistre :
    • les termes des requêtes qui sont saisies par les Utilisateurs sur un moteur de recherche ou dans la barre de recherche d’un site internet ou d’une application mobile et les résultats desdites recherches générées par le moteur de recherche ou le site internet ou l’application mobiles ,
    • les vidéos qui sont visionnées par les Utilisateurs ;
    • les produits achetés en ligne par les Utilisateurs ;
    • les informations saisies par les Utilisateurs dans des formulaires ;
    • les contenus, fichiers, outils téléchargés ou chargés par les Utilisateurs sur son Terminal ;
    • les publicités qui sont visionnées par les Utilisateurs ;
    • les informations et le contenu des sites internet ou des applications mobiles qui sont visités, utilisés, ou avec lesquels les Utilisateurs interagissent ;
  • Les informations sur le Terminal de l’Utilisateur : l’Application collecte et enregistre les informations sur le Terminal et le navigateur utilisés par les Utilisateurs, y compris l'adresse IP et le numéro de téléphone de l'appareil (dans le cas d’un téléphone mobile), le mode de fonctionnement de l'application mobile et les autres applications mobiles installées ou en cours d'exécution ;
  • Les informations sur l'utilisation d’un appareil mobile (téléphone portable et/ou tablette) de l’Utilisateur : dans le cas où l’Utilisateur a téléchargé l’Application sur son téléphone mobile ou sa tablette, l’Application collecte et enregistre les informations sur l'utilisation du téléphone mobile ou de la tablette des Utilisateurs, à savoir :
    • Les informations concernant les habitudes de navigation sur Internet des Utilisateurs : le temps passé sur Internet, les sites visités ou les applications mobiles utilisées, et les requêtes de recherche effectuées ;
    • Les informations sur l’utilisation d'autres applications mobile et fonctionnalités du téléphone mobile ou tablette (telles que l'appareil photo, étant précisé que les photos enregistrées sur votre appareil ne seront en aucun cas collectées), y compris l'identité des applications mobiles et fonctionnalités, la date à laquelle celles-ci ont été téléchargées, la fréquence à laquelle elles sont utilisées et la durée pendant laquelle elles sont utilisées ;
    • Les rapports sur la consommation de contenu au sein des applications mobiles suivantes :
      • YouTube
      • Achats sur Amazon
      • Facebook
      • Instagram
      • Twitter
      • TikTok
    • Les informations sur le type d'appareil mobile, quand et pendant combien de temps l’appareil mobile est mis en charge, l'état de sa batterie, s'il est allumé, éteint ou en mode veille ou "Avion" ;
    • Les informations sur le réseau mobile utilisé par l’Utilisateur, les réseaux wi-fi auxquels l’Utilisateur se connecte et à quels moments il se connecte audit réseau wi-fi ;
    • Les informations sur le volume de données téléchargées sur l’appareil mobile, les moments où ces données sont téléchargées et la méthode de connexion utilisée (wi-fi ou réseau mobile) ;
    • Les informations qui peuvent être déduites de la combinaison des informations listées ci-avant : par exemple, les applications utilisées juste avant d’effectuer une recherche à l'aide du navigateur internet de votre appareil mobile, ou la fréquence à laquelle l’Utilisateur passe des appels téléphoniques, envoie des emails ou des SMS à un contact particulier (étant précisé que le contenu de l’appel, de l’email ou du SMS n’est en aucun cas collecté et enregistré) ;
    • Les fonctionnalités du système d'exploitation permettant de visualiser le contenu des applications mobiles, telles que les services d'accessibilité.

 

CAS PARTICULIER CONCERNANT LES DONNEES A CARACTERE PERSONNEL DITES « SENSIBLES »

Les Utilisateurs sont informés du fait que CSA et sons Sous-traitant ne collectent pas intentionnellement des catégories particulières de Données à caractère personnel concernant les Utilisateurs.

On entend par catégories particulières de Données à caractère personnel les données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques, les données biométriques permettant d'identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique (ci-après désignées les « Données Sensibles »).

Néanmoins, dans la mesure où l’Application collecte et enregistre l’intégralité des données générées par les Utilisateurs dans le cadre de leur navigation sur internet ou de leur utilisation d’applications mobiles, des Données Sensibles peuvent être collectées par l’Application en fonction des sites internet, applications mobiles ou contenus qui auront été consultés par l’Utilisateur (par exemple, les données de navigation lors des visites de sites web à caractère pornographique, les termes de recherche saisis, etc.) et seront collectées par l’Application et seront ensuite exclues des Traitements et supprimées. Afin qu’aucune Données Sensibles ne soient collectées par l’Application, les Utilisateurs ne doivent pas utiliser le Terminal sur lequel l’Application est téléchargée pour consulter des contenus, des sites ou des applications mobiles qui conduiraient à la collecte de Données Sensibles.

2.2 Quels sont les traitements qui sont effectués par CSA et son Sous-traitant ?

Les traitements mis en œuvre par CSA et son Sous-traitant sont les suivants (ci-après désignés les « Traitements ») :

  • Collecte des Données à caractère personnel ;
  • Analyse des Données ;
  • Segmentations des Données ;
  • Stockage des Données ;
  • Extraction / transfert ;

2.3 Quelles sont les finalités des Traitements mis en œuvre par CSA et son Sous-traitant ?

Les Données des Utilisateurs sont traitées pour les finalités suivantes (ci-après désignées les « Finalités ») :

  • Profilage : les Données des Utilisateurs sont combinées en segments de consommateurs et présentées sous forme de résultats agrégés (ou groupés). Les segments de consommateurs sont des groupes d'utilisateurs qui ont des intérêts ou des caractéristiques communs (par exemple : les femmes âgées de 28 à 34 ans intéressées par les sites web de voyage). Les Données des Utilisateurs sont combinées entre elles pour former des segments de consommateurs sans identifier un Utilisateur en particulier. Ces segments sont analysés afin de :
    • comprendre les habitudes de navigation des Utilisateurs : quel est le parcours de navigation des Utilisateurs et comment ils interagissent avec les médias numériques, ce qui inclut le contenu du site internet, les applications mobiles et la publicité qu'ils voient.
    • Établir des profils : les Données collectées via l’Application sont combinées avec les données à caractère personnel communiquées par l’Utilisateur dans le cadre de sa participation au panel de CSA (des informations sur les achats (en ligne et hors ligne)) des Utilisateurs, des informations sur le foyer et le style de vie de l’Utilisateur, ainsi que des détails démographiques et personnels plus généraux. Par exemple, en examinant à la fois l'activité de navigation sur internet des Utilisateurs et les achats en magasin, il est possible d’identifier un segment de consommateurs qui visitent certains sites internet pendant leur processus d’achat d’un produit (comme un téléviseur, un ordinateur ou une automobile), mais sont susceptibles d'effectuer l'achat réel dans un magasin physique.

 

  • Analyse des parcours de consommation : les Données sont utilisées pour améliorer ses segments de consommateurs de CSA et la connaissance des parcours de consommation des consommateurs.

 

  • Enquêtes ciblées : Les Données peuvent être utilisées pour envoyer aux Utilisateurs des invitations à participer à des enquêtes sur la base des comportements de navigation en ligne qui ont été collectés par l'Application. Par exemple, si l’Utilisateur visite des sites qui suggèrent que l’Utilisateur aime voyager, CSA peut envoyer à l’Utilisateur une enquête concernant les services de voyage.

 

2.4 Quels sont les personnes concernées par les Traitements mis en œuvre par CSA et son Sous-traitant ?

Les panélistes sélectionnés par CSA et ayant accepté de participer au Programme, également désigné par le terme « Utilisateurs » dans le cadre de la Politique de confidentialité.

2.5 Quelle est la base légale des Traitements mis en œuvre par CSA et son Sous-traitant ?

La base légale des Traitements est le consentement. Le consentement de chaque Utilisateur est recueilli pour chacune des Finalités définies ci-avant avant le téléchargement de l’Application et seuls les Utilisateurs qui ont accepté que leurs Données soient traitées pour chacune des Finalités, pourront télécharger l’Application et l’installer sur leur Terminal, et donc voir leurs Données collectées par l’Application et traitées pour les Finalités définies ci-avant.

2.6 Quelle est la durée de conservation des données à caractère personnel

Les Données seront conservées jusqu’au 31 mars 2024. A cette date, l’ensemble des Données seront supprimées.

Quels sont les destinataires des Données à caractère Personnel ?

Les Données sont accessibles uniquement à CSA, son Sous-traitant, et le cas échéant au prestataire chargé de l’hébergement de l’Application (serveur Amazon AWS) dans le cadre des opérations de maintenance des serveurs de stockage. Etant précisé que le Sous-traitant est chargé de réaliser l’ensemble des Traitements au nom et pour le compte de CSA.

Il est précisé que certaines données concernant les Utilisateurs sont également transmises à un prestataire tiers situé en Inde, la société GRPS, qui est chargé de réaliser les analyses des URLs des sites et pages internet visitées par les Utilisateurs. Les données qui sont communiquées à ce prestataire sont des données pseudonymisées qui ne lui permettent en aucun cas d’identifier directement ou indirectement les Utilisateurs, la clé d’identification des Utilisateurs et n’étant en aucun cas communiquée au prestataire tiers, celui-ci ne disposant d’aucune autre information lui permettant de réidentifier les Utilisateurs. A l’issue de ses prestations, le prestataire procédera à la destruction des données qui lui ont été confiées.

 

3. Droits des personnes concernées

Conformément à la loi "informatiques et libertés" du 6 janvier 1978 du règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, les Utilisateurs disposent d’un droit d’accès leur permettant de demander selon le cas, à CSA, sous réserve de justifier de mon identité, de me communiquer toutes les informations me concernant, d’un droit de rectification, d’un droit à l’effacement, à la limitation du traitement et à la portabilité dans les conditions prévues aux articles 16 à 18, 20 et 21 du RGPD ainsi que du droit de transmettre des directives post-mortem ;

Les Utilisateurs disposent, auprès de la CNIL, d’un droit de réclamation et d’un droit d’opposition, pour des motifs légitimes, à ce que des Données à caractère personnel les concernant fassent l’objet d’un traitement au sens de la loi précitée.

Il est précisé que dans le cas où l’Utilisateur exerce son droit d’opposition, son droit à l’effacement de ses données, de demander la limitation du traitement, son droit à la portabilité ou retire son consentement, l’Utilisateur ne pourra plus utiliser l’Application et devra procéder à sa suppression sur son Terminal dans les conditions définies à l’article 5.3 ci-avant.

L’ensemble de ces droits s’exerçant auprès du DPO à l’adresse email suivante : dpo.csa@csa.eu et/ou à l’adresse postale suivante : CSA, à l’attention du DPO, 2 Bis rue Godefroy – 92800 PUTEAUX.

Les Utilisateurs peuvent également se désinscrire du Programme à tout moment en supprimant l'Application du Terminal. La procédure de désinstallation de l’Application pour chaque système d'exploitation est présentée ci-dessous :

  1. a) Si vous utilisez un téléphone Android, ouvrez simplement "Paramètres", faites défiler vers le bas jusqu'à "Apps", trouvez RealityMeter, puis cliquez sur "Désinstaller". Cela supprimera également le profil VPN. Vous devrez ensuite supprimer le certificat racine de vos paramètres.
  2. b) Si vous utilisez un iPhone, maintenez le doigt appuyé sur l'icône de l'application. Lorsqu'un "X" apparaît au-dessus de RealityMeter, appuyez sur le "X" pour supprimer l'application. Vous devez ensuite supprimer le profil VPN de votre appareil en allant dans 'Réglages', 'Général', 'Profils' et en supprimant le profil VPN et le certificat racine.
  3. c) Si vous utilisez un ordinateur Windows, trouvez RealityMeter dans "Programmes et fonctionnalités", double-cliquez pour faire apparaître l'assistant de désinstallation et cliquez sur "Désinstaller". Vous devrez supprimer manuellement les extensions Chrome et Firefox ; le responsable du traitement des données vous fournira des instructions sur la manière de procéder.
  4. d) Si vous utilisez un ordinateur OSX, quittez RealityMeter par la force, faites glisser l'application vers la corbeille, puis videz la corbeille. En suivant ces étapes, toutes les extensions du navigateur seront automatiquement supprimées. Vous devrez supprimer manuellement les extensions Chrome et Firefox, et le responsable du traitement des données vous fournira des instructions sur la manière de procéder. L'extension Safari sera automatiquement supprimée une fois l'application désinstallée.

Si un Utilisateur n'est pas en mesure de se désinscrire rapidement et facilement, il peut adresser un message au DPO à l’adresse email suivante : dpo.csa@csa.eu.

4. Sécurité des données

L’ensemble des mesures de sécurité techniques et organisationnelles appropriées sont mises en œuvre, dans le cadre d’une obligation générale de moyens, pour mettre à la disposition des Utilisateurs une Application sécurisée, et assurer un niveau de sécurité appropriée compte tenu des risques.

En outre, l'accès aux données à caractère personnel des Utilisateurs est limité aux employés de CSA et de son Sous-traitant qui ont un besoin d’y accéder pour les besoins du fonctionnement de l’Application et du bon déroulé du Programme. Ils ne traiteront les données à caractère personnel des Utilisateurs que sur instructions de CSA et/ou de son Sous-traitant et sont soumis à une obligation de confidentialité.

Les données collectées via l'Application sont cryptées sur le Terminal à l'aide d'une technologie à clé publique, de sorte que si le Terminal est compromis, volé ou perdu, les données collectées ne peuvent pas être décryptées car la clé privée n'est pas connue.

Notification d'un incident de sécurité :

Si CSA et/ou sons Sous-traitant ont connaissance d'une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux Données (ci-après désigné un "Incident de Sécurité"), CSA mettra en œuvre sans retard injustifié (1) la notification de l'Incident de Sécurité aux autorités de contrôle compétente et le cas échéant aux Utilisateurs concernés ; (2) des mesures raisonnables pour atténuer les effets et minimiser tout dommage résultant de l'Incident de Sécurité.