La protection de vos données est notre priorité

Auchan s’engage pour préserver la confidentialité de vos données personnelles. Nous améliorons sans cesse nos systèmes pour assurer la protection des données que vous nous confiez lorsque vous utilisez nos services. Consultez notre engagement de confidentialité pour en savoir plus sur la façon dont nous personnalisons votre expérience Auchan.

Protection des données clients

Nous nous engageons à préserver la confidentialité de vos informations conformément à notre politique de confidentialité client

Protection des données candidats

Nous préservons aussi la confidentialité de vos données personnelles lorsque vous postulez chez nous conformément à notre politique de confidentialité candidats

Vos données personnelles vous appartiennent.

Nous traitons vos données personnelles conformément à la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, conformément au règlement européen relatif à la protection des personnes physiques.

Glossaire

La nouvelle législation en matière de protection des données

Depuis la première directive européenne de 1995 la technologie a progressé et continue à évoluer de plus en plus vite. De nombreux changements sont intervenus depuis et avec cela la nécessité d’adapter un cadre légal afin d’assurer une protection optimale des personnes quant au traitement de leurs données à caractère personnel et avec cela leur droit au respect de leur vie privée. Il a donc apparu nécessaire pour le législateur européen de poser d’une part, un cadre de protection fort pour les citoyens tout en tenant compte des nouvelles évolutions technologiques, et, d’autre part, une harmonisation des règles en vigueur dans les différents Etats membres de l’Union européenne.

C’est dans cette optique que la Commission européenne a en 2012 initié une réforme du cadre légal existant, dans le but d’adapter les règles. Cette réforme a mené deux textes sur la protection des données qui contient :

  • le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (abrogeant la directive 95/46/CE), qui prévoit le régime général en matière de protection des données à caractère personnel. Il prévoit un délai de mise en application de deux ans et entrera définitivement en vigueur à partir du 25 mai 2018.
  • la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénale, et à la libre circulation de ces données (abrogeant la décision-cadre 2008/977/JAI du Conseil).

Les données personnelles

Il existe 3 types de données personnelles :

  • les données “en clair” : données permettant l’identification immédiate d’une personne.
  • les données pseudonymisées : possibilité d’identifier une personne moyennant un effort de rechercher plus ou moins important
  • les données anonymisées : impossibilité totale d’établir un lien avec une personne physique

Il existe une catégorie particulière de données : les données sensibles. Ce sont les données se rapportant à :

  • l’origine raciale ou ethnique ;
  • les opinions politiques ;
  • les convictions religieuses ou philosophiques ;
  • l’appartenance syndicale ;
  • les données concernant la santé ;
  • la vie sexuelle ;
  • les données génétiques ;
  • les données judiciaires ;
  • les données biométriques.

Le traitement de données à caractère personnel

Le traitement est défini comme toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou tout autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Les acteurs autour des données personnelles

  • La personne concernée : est désignée sous le terme de « personne concernée » toute personne qui peut être identifiée, directement ou indirectement, par le biais d’un identifiant (par exemple, un nom, un numéro d’identification ou des données de localisation) ou d’un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. En d’autres termes, une personne concernée est un utilisateur final dont les données à caractère personnel peuvent être recueillies.
  • Le tiers : est une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable de traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.
  • L’autorité de contrôle : autorité publique indépendante qui est chargée de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union Européenne.
    Au luxembourg, il s’agit de la Commission Nationale pour la Protection des données (CNPD).
  • Le responsable de traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.
  • Le sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
  • Le délégué à la protection des données (DPO) : La mission du délégué à la protection des données au sein d’une entreprise ou d’une organisation consiste à veiller à ce que celle-ci protège convenablement les données à caractère personnel des individus, conformément à la législation en vigueur.

Quels sont vos droits ?

Tout personne concernée par un traitement de données dispose d’un certain nombre de droits. Ces droits sont largements augmentés avec le RGPD. Cette législation sur la protection des données vous confère des droits permettant de contrôler l’usage de vos propres données personnelles :

1. Le droit à l’information

Qui traite mes données personnelles, pourquoi et comment ?

Les entreprises ou administrations doivent vous donner ces éléments dans un langage simple et clair au moment même de la collecte de vos données ou, au plus tard, endéans un mois suivant la collecte.

Ce droit est limité dans certains cas, par exemple pour la sécurité publique ou la poursuite d’infractions pénales.

En cas de faille de sécurité entraînant une violation de données à caractère personnel susceptible d’engendrer un risque élevé pour vos droits et libertés, le responsable de traitement doit vous informer dans les meilleurs délais afin que vous puissiez prendre les précautions qui s’imposent.

2. Le droit de contester une décision prise sur base de processus automatisés.

Votre banque vous refuse un prêt à la consommation car le “système ne veut pas”, que pouvez-vous faire ?

Demandez des explications et le cas échéant contestez cette décision qui a été prise sans intervention humaine. En effet, vous avez le droit d’être informé sur la logique qui commande les décisions qui sont prises sur base de processus automatisés. L’organisme concerné doit vous accorder la possibilité de faire valoir votre point de vue et de contester, le cas échéant, la décision.

3. Le droit d’accès

Vous achetez un produit sur Internet et souhaitez savoir quelles informations ont été conservées par le commerçant en ligne ?

Adressez-vous directement au responsable de traitement, il doit vous communiquer l’intégralité des données vous concernant.

4. Le droit de rectification

Vous avez remarqué que des données qui vous concernent sont inexactes, incomplètes ou tout simplement plus à jour ?

Demandez la rectification de vos données personnelles! Contactez le responsable de traitement pour qu’il rectifie les informations inexactes qui vous concernent. Ce droit permet d’éviter qu’un organisme ne traite ou ne diffuse de fausses informations sur vous.

5. Le droit à l’oubli

La conservation de certaines données vous concernant n’est plus justifiée ?

Si le responsable de traitement n’a plus aucun motif légitime (par exemple des obligations légales au niveau de la comptabilité) qui justifie la conservation de vos données, ces données doivent être supprimées.

Le droit à l’oubli vous permet également d’exiger le retrait immédiat de données à caractère personnel collectées ou publiées sur un réseau social alors que vous étiez mineur et pas pleinement conscient des risques inhérents au traitement.

6. Le droit au déréférencement

Vous consultez un moteur de recherche (Google, Bing, Yahoo, etc..) et, à la saisie de la combinaison de votre nom et prénom, vous trouvez un résultat de recherche qui est erroné ou non pertinent ?

Contactez le moteur de recherche (vérifier sur son site, il y a souvent un formulaire dédié) et demandez le déréférencement du résultat de recherche. Il est nécessaire que vous expliquiez au moteur de recherche pourquoi ce résultat n’est plus pertinent ou erroné.

7. Le droit à la portabilité des données

Vous souhaitez récupérer vos données lorsque vous changez d’opérateur en ligne ?

Ce droit vous permet de récupérer gratuitement les données que vous avez communiquées à un organisme dans un format structuré, couramment utilisé et lisible par machine et le cas échéant, de les transmettre à un autre (réseau social, fournisseur d’accès à Internet, site de streaming, etc.) sans que l’organisme y fasse obstacle.

Le droit à la portabilité s’applique uniquement si le traitement des données est :

  • effectué à l’aide de procédés automatisés,
  • fondé sur votre consentement ou sur un contrat entre vous et le responsable de traitement.
8. Le droit d’opposition

Vous ne souhaitez plus recevoir de publicités d’une société ? Vous ne voulez plus figurer dans la base de données de votre concessionnaire automobile ?

Exercez votre droit d’opposition directement auprès du responsable de traitement si vous avez des motifs légitimes.

Vous pouvez vous opposer, sans devoir fournir aucune justification, à l’utilisation de vos données à des fins de prospection commerciale ou de démarchage à orientation idéologique (partis politiques, syndicats, groupements religieux, etc.)

Vous ne pouvez pas vous opposer à un traitement prévu par une loi.

9. Le droit à la limitation

Vous constatez qu’une information vous concernant est inexacte ou non pertinente. Mais plutôt que de demander la suppression, vous préférez une limitation ?

Vous pouvez revendiquer le blocage du traitement de vos données :

  • lorsque vous contestez l’exactitude d’une donnée, le temps que le responsable de traitement puisse vérifier celle-ci ;
  • si le traitement est illicite et que vous vous opposez néanmoins à l’effacement de vos données, préférant une telle limitation ;
  • quoique n’étant plus nécessaire, vous en avez besoin pour la constatation, l’exercice ou la défense de vos droits en justice ;
  • En cas de limitation, les données ne peuvent plus faire l’objet d’un quelconque traitement. La limitation peut être effectuée selon diverses modalités (déplacement temporaire vers un autre fichier, verrouillage des données, retrait temporaire d’un site internet, etc.).

Existe-t-il des règles spécifiques concernant les données personnelles de votre enfant ?

Les règles, droits et devoirs relatifs aux traitements de données à caractère personnel s’appliquent de la même manière aux personnes mineurs et majeures.

Il existe cependant des spécificités concernant les enfants :

  • l’information qui leur est transmise doit être rédigée dans un langage compréhensible par eux.
  • lorsque le traitement de données à caractère personnel est basé sur le consentement de la personne, le consentement des parents est également requis pour les enfants de moins de 16 ans.

Quelles sont les obligations à respecter par tout responsable de traitement ?

La législation relative à la protection des données personnelles met un nombre important d’obligations à charge du responsable de traitement lesquelles peuvent être résumées comme suit :

  • respecter toutes les règles légales posées par la législation relative à la protection des données personnelles à tout moment ;
  • savoir démontrer et documenter à tout moment sa conformité à la législation relative à la protection des données personnelles par des mesures techniques et organisationnelles appropriées ;
  • assurer la sécurité des données traitées. Le responsable du traitement doit s’assurer de n’utiliser que des moyens garantissant la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes de traitement ;
  • assurer au maximum la protection des données dès la conception et la protection des données par défaut ;
  • choisir (le cas échéant/s’il y a lieu) un sous-traitant qui présente des garanties suffisantes et baser son accord avec le sous-traitant sur un contrat écrit contenant des clauses de confidentialité.

Des questions ?

Auchan Luxembourg a nommé un délégué à la protection des données qui est disponible pour répondre à vos questions concernant le traitement de vos données. Vous pouvez le contacter :

  • par email : dpo-rgpd@auchan.lu ou ;
  • par téléphone : +352 43 77 43 26 57 ou ;
  • par courrier postal : 5, Rue Alphonse Weicker L-2721 Luxembourg.