Politique de confidentialité du Tableau de Contrôle Storio
La présente politique décrit la manière dont Storio Energy traite les données à caractère personnel des utilisateurs du Tableau de Contrôle Storio, accessible à l'adresse https://app.storioenergy.com (le « Tableau de Contrôle »). Elle vise à informer les utilisateurs, conformément :
- au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») ;
- à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi Informatique et Libertés ») ;
- à la directive 2002/58/CE (« ePrivacy »), telle que transposée à l'article 82 de la loi Informatique et Libertés, s'agissant des cookies et traceurs.
1. Responsable du traitement
Le responsable du traitement est :
Storio Energy, SAS — RCS Bobigny 982 898 561 Siège social : 7 place de l'Hôtel de Ville, 93600 Aulnay-sous-Bois, France. Référent données personnelles : dataprotection@storioenergy.com (ou par courrier au siège social ci-dessus).
Storio agit en qualité de responsable de traitement pour la gestion des comptes utilisateurs, l'authentification, la sécurité, les journaux d'audit et le support. Le cas échéant, lorsqu'un accord de traitement des données conclu avec le client le prévoit, Storio agit en qualité de sous-traitant du client pour les traitements concernés, dans les conditions définies par cet accord.
2. Données « personnelles » et données « entreprise client »
La présente politique porte sur les données à caractère personnel des utilisateurs du Tableau de Contrôle (personnes physiques : employés du client, contacts, personnel de Storio).
Elle se distingue des données d'entreprise du client affichées sur le Tableau de Contrôle (performance et santé des batteries au niveau du site, flux d'énergie, revenus et données de marché). Ces données ne constituent généralement pas des données personnelles lorsqu'elles se rapportent à une personne morale ou à un site industriel ou commercial sans identification d'une personne physique. Elles peuvent toutefois être traitées comme des données personnelles lorsqu'elles permettent d'identifier directement ou indirectement une personne physique. Elles demeurent la propriété exclusive du client et sont traitées dans le cadre du Contrat de solution de stockage d'énergie, qui prévaut pour ce qui les concerne.
3. Données collectées, finalités et bases légales
| Catégorie de données | Finalité | Base légale |
|---|---|---|
| Identité du compte : identifiant, nom, adresse e-mail | Création et gestion du compte, authentification, accès au Tableau de Contrôle | Intérêt légitime : fournir l'accès au service B2B convenu avec le client |
| Rôles et appartenances : organisation, rôle (administrateur/membre, gestionnaire/opérateur de site) | Gestion des droits et permissions d'accès | Intérêt légitime : sécurité et bon fonctionnement du service |
| Journaux d'authentification et d'audit, adresse IP, données de connexion, type de navigateur/appareil | Sécurité, traçabilité, détection et gestion des incidents | Intérêt légitime : sécurisation du service |
| Interactions support : échanges et demandes d'assistance | Traitement des demandes et des incidents | Exécution du contrat, ou intérêt légitime selon le cas |
| Données de facturation et de contrat | Tenue des registres comptables et contractuels | Obligation légale (Code de commerce) |
Caractère obligatoire ou facultatif. Les données nécessaires à la création du compte, à l'authentification et à la sécurité sont obligatoires pour accéder au Tableau de Contrôle ; à défaut, l'accès au service ne peut pas être fourni. Les données transmises dans le cadre du support sont fournies volontairement, mais peuvent être nécessaires au traitement de la demande.
Storio ne procède à aucune décision entièrement automatisée produisant des effets juridiques à l'égard des utilisateurs, ni à aucune publicité ciblée. Le Tableau de Contrôle n'utilise pas d'outil de mesure d'audience ni de traceur publicitaire.
4. Destinataires des données
Les données sont accessibles, dans la limite de ce qui est nécessaire à leurs missions, aux équipes habilitées de Storio (exploitation, support, sécurité). L'accès est encadré par un contrôle d'accès fondé sur les rôles, avec cloisonnement par organisation et principe du moindre privilège.
Les données ne sont ni vendues, ni louées, ni cédées à des tiers à des fins commerciales.
5. Sous-traitants et prestataires
Storio fait appel aux prestataires suivants, qui agissent en qualité de sous-traitants et présentent des garanties appropriées :
| Prestataire | Rôle | Hébergement / localisation des données |
|---|---|---|
| Amazon Web Services EMEA SARL | Hébergement de l'infrastructure et des données | Union européenne (Francfort) |
| Timescale Cloud | Base de données managée | Hébergement en Union européenne (Francfort) ; éditeur établi hors UE, accès possible encadré par les garanties appropriées |
| Clerk | Authentification et gestion des comptes | Éditeur établi hors UE ; transfert/accès encadré par les garanties appropriées (clauses contractuelles types) |
6. Transferts hors de l'Union européenne
Les données du Tableau de Contrôle sont principalement hébergées dans l'Union européenne (Francfort). Certains prestataires peuvent toutefois impliquer des transferts ou des accès à des données en dehors de l'Union européenne / de l'Espace économique européen. De tels transferts sont encadrés par les garanties appropriées prévues par le RGPD, notamment les clauses contractuelles types, ou interviennent le cas échéant vers un pays bénéficiant d'une décision d'adéquation.
7. Durées de conservation
| Donnée | Durée de conservation |
|---|---|
| Données de compte et d'appartenance | Pendant la durée du Contrat ; suppression dans un délai de 30 jours suivant une demande de suppression (jusqu'à 20 jours de rémanence en sauvegarde) |
| Journaux applicatifs serveur (authentification, audit) | 2 ans |
| Données d'exploitation et de marché (niveau site) | 5 ans à compter de leur collecte |
| Registres de facturation et de contrat | 10 ans (article L123-22 du Code de commerce) |
8. Cookies et traceurs
Le Tableau de Contrôle utilise uniquement des cookies strictement nécessaires à la fourniture du service (session et authentification). Conformément à l'article 82 de la loi Informatique et Libertés, ces cookies sont exemptés de consentement : ils ne peuvent être désactivés sans empêcher l'usage du Tableau de Contrôle. Le Tableau de Contrôle n'utilise aucun cookie ou traceur de mesure d'audience, de profilage ou de publicité.
Le Tableau de Contrôle conserve également certaines informations dans le stockage local du navigateur pour les besoins de l'interface (préférences d'affichage) ; ces éléments ne sont pas utilisés à des fins de suivi.
| Traceur | Finalité | Durée |
|---|---|---|
| Cookie de session / authentification | Maintenir la session de l'utilisateur connecté | Durée de la session ou durée définie par le service d'authentification |
| Stockage local de préférences | Mémoriser les préférences d'affichage (interface) | Jusqu'à suppression par l'utilisateur |
9. Sécurité
Conformément à l'article 32 du RGPD, Storio met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données : chiffrement en transit (TLS 1.2 ou supérieur), chiffrement au repos, contrôle d'accès fondé sur les rôles avec principe du moindre privilège, authentification renforcée disponible, journalisation et supervision, et cloisonnement des données par organisation.
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les personnes, Storio notifie la CNIL dans les 72 heures et informe, le cas échéant, les personnes concernées, conformément aux articles 33 et 34 du RGPD.
10. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles : droit d'accès (art. 15), de rectification (art. 16), d'effacement (art. 17), de limitation du traitement (art. 18), de portabilité (art. 20) et d'opposition (art. 21). Vous disposez également, en application de l'article 85 de la loi Informatique et Libertés, du droit de définir des directives relatives au sort de vos données après votre décès.
Pour exercer ces droits, contactez Storio à l'adresse dataprotection@storioenergy.com ou par courrier au siège social. Une preuve d'identité pourra être demandée. Storio répond dans les délais prévus par le RGPD.
Vous disposez par ailleurs du droit d'introduire une réclamation auprès de la CNIL (Commission nationale de l'informatique et des libertés — www.cnil.fr).
Lorsque Storio traite des données personnelles pour le compte d'un client (en qualité de sous-traitant), les demandes des personnes concernées peuvent être orientées vers le client responsable de traitement, conformément au Contrat et à l'accord de traitement des données.
11. Modification de la politique
Storio peut faire évoluer la présente politique pour l'adapter au Tableau de Contrôle ou à la réglementation. En cas de modification substantielle, les utilisateurs en seront informés et les versions antérieures seront archivées.