Ubiant, créateur de solutions pour bâtiments intelligents

Politique de confidentialité

(Dernière mise à jour le 10/10/17)

Version V.1.0

Télécharger le fichier PDF

L’ESSENTIEL A SAVOIR SUR LE TRAITEMENT DES DONNEES A CARACTERE PERSONNEL DANS LE CADRE DE LA SOLUTION HEMIS

–      Le responsable du traitement des données est Ubiant, société anonyme, au capital de 2 185 416 euros, immatriculée sous le numéro 384 565 149 au registre du commerce et des sociétés de Lyon, ayant son siège social situé Immeuble Le Silex – Espace Nextdoor, 15, rue des Cuirassiers – 69487 Lyon Cedex 03.

–    Certaines données collectées et traitées par Ubiant sont des données qualifiées de sensibles. Leur traitement obéit à des règles particulières (pour plus de détails voir article 2.).

–    Les finalités poursuivies par ce traitement sont la gestion et le suivi des relations contractuelles et précontractuelles avec les utilisateurs et abonnés à la solution Hemis, la fourniture des services de la solution Hemis aux utilisateurs et abonnés, l’organisation de programmes de fidélisation, la gestion des avis des utilisateurs et abonnés, le contrôle de la qualité des services fournis par les sous-traitants d’Ubiant, la réalisation de statistiques commerciales, la prospection par Ubiant et ses partenaires, la gestion des éventuels impayés et contentieux, le respect des obligations légales pesant sur Ubiant et le suivi de l’audience et la facilitation de la navigation sur l’Application (pour plus de détails voir article 3.).

–    Les fondements légitimes du traitement sont multiples. Le traitement repose ainsi, en fonction des finalités envisagées et de la nature sensible ou non des données, sur le consentement, exprès ou non, des utilisateurs, abonnés et tiers, les intérêts légitimes d’Ubiant ou des utilisateurs ou abonnés, l’exécution des contrats conclus entre les utilisateurs et abonnés et Ubiant ou une tierce partie, l’exécution de mesures précontractuelles prises à la demande des utilisateurs et abonnés et le respect des obligations légales auxquelles Ubiant est soumise (pour plus de détails voir article 3.).

–    Le caractère obligatoire ou facultatif de la fourniture de données est indiqué sur les différents formulaires de création de compte et de souscription d’abonnement lorsque les données sont recueillies par ce biais. Par ailleurs, pour bénéficier des services de la solution Hemis, la collecte de données provenant d’a minima un objet connecté est nécessaire. Des justificatifs d’identité ou la preuve de la présence dans un bâtiment connecté peuvent également être requis par Ubiant dans certains cas. Il s’agit d’exigences soit réglementaires, soit contractuelles. Les conséquences de la non-fourniture de ces données dépendent des situations. Il s’agira principalement de l’impossibilité de créer un compte sur l’application de la solution Hemis, de l’impossibilité de souscrire un abonnement ou de l’impossibilité de bénéficier des services de la solution Hemis (pour plus de détails voir article 4.).

–    Les destinataires auxquels les données peuvent être communiquées sont, sous réserve pour certains de l’autorisation expresse des abonnés, les autres utilisateurs et abonnés en cas de partage ou transfert des bâtiments virtuels, les fabricants d’objets connectés, les maîtres d’ouvrages, maîtres d’œuvres et constructeurs des bâtiments connectés grâce à la solution Hemis, les énergéticiens, les gestionnaires d’immeubles, le responsables des services généraux et des équipements (« Facility Manager ») des bâtiments connectés grâce à la solution Hemis ou encore les hébergeurs auxquels les Usagers décident de confier le stockage de certaines de leurs données (pour plus de détails voir articles 5. et 6.).

–    Protection de la vie privée des tiers : Les abonnés et utilisateurs et certains tiers sont susceptibles de communiquer à Ubiant des données à caractère personnel concernant des tiers. Le traitement de ces données doit être fait dans le respect de la règlementation applicable. L’attention des personnes communiquant ces données est notamment attirée sur la nécessité de communiquer certaines informations aux personnes concernées par ces données, sur le possible besoin de recueillir le consentement de ces personnes et sur le caractère sensible de certaines données. Les tiers communiquant des données prennent certains engagements à ces égards auprès d’Ubiant  (pour plus de détails voir article 7.).

–    Vous avez des droits. Il s’agit du droit de demander à Ubiant l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, du droit de s’opposer au traitement, du droit de définir des directives concernant le sort de vos données à caractère personnel après votre décès, ainsi que du droit d’introduire une réclamation auprès de la CNIL ou toute autre autorité de contrôle compétente. A compter du 25 mai 2018, s’y ajouteront le droit de demander à Ubiant une limitation du traitement de vos données, ainsi que le droit à la portabilité des données (pour plus de détails voir article 8.).

–    Les durées de conservation de vos données varient jusqu’à cinq ans à compter de la résiliation du ou des contrats conclus avec Ubiant en fonction de la nature des données concernées, des objets connectés utilisés et des services sollicités, sauf en cas de précontentieux ou contentieux (pour plus de détails voir article 9.).

–    Transferts de données en dehors de l’Espace Economique Européen : Les données à caractère personnel sont hébergées et traitées par Ubiant et ses sous-traitants sur le sol de l’Espace Economique Européen. Toutefois, Ubiant peut être amenée à transférer des données à des destinataires, notamment des fabricants d’objets connectés, situés en dehors de cet espace (ou sur des serveurs de ces destinataires situés en dehors de cet espace). Le cas échéant, ces transferts seront encadrés par des contrats signés par Ubiant et les destinataires des Données incluant les clauses contractuelles types adoptées par la Commission européenne dans sa décision datée du 5 février 2010 n°2010/87/UE (pour plus de détails voir article 10.).

Pour en savoir plus, nous vous invitons à prendre connaissance de la politique de confidentialité ci-dessous

La présente politique de confidentialité (la « Politique de confidentialité ») définit les conditions dans lesquelles Ubiant recueille et traite des données, notamment des données à caractère personnel, dans le cadre de sa solution de pilotage domotique Hemis permettant à des utilisateurs, abonnés ou non (les « Usagers ») de piloter à partir d’une application accessible à partir d’un ordinateur ou sur certains smartphones connectés à Internet (l’« Application ») divers aspects de leurs lieux de vie (logements, bureaux, commerces, etc.) à l’aide d’objets connectés installés dans leurs logements par les Usagers ou par les constructeurs ou les anciens occupants desdits logements (les « Objets Connectés »).

Les conditions générales de services de la solution de pilotage Hemis sont décrites dans un document distinct accessible à l’adresse https://www.ubiant.com/legal1/ .

Les données recueillies et traitées dans le cadre de la solution Hemis peuvent concerner des Usagers, que ceux-ci aient souscrit directement un abonnement auprès d’Ubiant ou aient seulement ouvert un compte sur l’Application. Les données peuvent également concerner des tiers (les « Tiers »).

Elles sont recueillies et traitées par la société Ubiant, société anonyme, au capital de 2 185 416 euros, immatriculée sous le numéro 384 565 149 au registre du commerce et des sociétés de Lyon, ayant son siège social situé Immeuble Le Silex – Espace Nextdoor, 15, rue des Cuirassiers – 69487 Lyon Cedex 03 (« Ubiant »).

Soucieuse du respect de la vie privée des Usagers et des Tiers et de la protection des informations concernant les Usagers et les Tiers, Ubiant, en sa qualité de responsable de traitement, respecte la législation en vigueur en matière de protection des données à caractère personnel des Usagers, et notamment la loi n°78-17 du 6 janvier 1978 dite loi « Informatique et Libertés » (la « loi Informatique et Libertés ») et, à partir du 25 mai 2018, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit règlement général sur la protection des données ou RGPD (le « RGPD »).

Ubiant peut également être amenée à traiter des données à caractère personnel concernant des Usagers et des Tiers en qualité de sous-traitant pour le compte de sociétés tierces, notamment pour héberger lesdites données. Ce faisant, elle respectera également la législation en vigueur. Toutefois, ces traitements ne font pas l’objet de la présente Politique de confidentialité. Il est renvoyé à cet égard aux documents et informations fournies par ces sociétés tierces sur lesdits traitements.

Ubiant peut être conduite à mettre à jour la Politique de confidentialité pour suivre l’évolution de ses relations contractuelles avec les Usagers ou des droits des Usagers et des Tiers. Toute mise à jour fera l’objet d’une information préalable et individuelle des Usagers et, lorsque ce dernier est nécessaire, d’un recueil de leur consentement. Elle peut nécessiter l’information préalable et individuelle des Tiers par les Usagers ayant communiqué des données sur ces derniers et, lorsque ce dernier est nécessaire, le recueil du consentement des Tiers par ces mêmes Usagers.

1. Les données collectées et traitées par Ubiant

Ubiant peut être amenée à collecter et à traiter :

  • des données pour identifier les Usagers qui créent un compte et souscrivent éventuellement à un abonnement à la solution Hemis et pour organiser les paiements des échéances de l’abonnement (les « Données de Contrat»)

Par exemple : nom, prénom, âge, formule d’abonnement choisie, données bancaires, etc.

  • des données communiquées par les Usagers dans le cadre de l’utilisation de l’Application (les « Données d’Utilisation »)

Par exemple : informations sur les Objets Connectés installés dans les logements, géolocalisation, dates, heures et natures des actions mises en œuvre à distance à partir de l’Application (pour le pilotage des interrupteurs par exemple), photographies des pièces ou des objets, scénarios d’actions à mettre ensemble en œuvre lors de la survenance d’événements tels qu’un départ en congés, objectifs prédéfinis de consommation ou production énergétique, etc.

  • des données émises par les Objets Connectés installés dans leurs logements par les Usagers ou par les constructeurs ou les anciens occupants desdits logements (les « Données Brutes»)

Par exemple : mesure de température, mesure de la consommation d’électricité ou de gaz, état ouvert ou fermé d’une fenêtre, détection de présence, etc.

  • des données issues des calculs, rapprochements et analyses réalisés par Ubiant dans le cadre de la solution Hemis (les « Données Enrichies »)

Par exemple : courbe de suivi de la consommation énergétique, dépassement d’un seuil de consommation énergétique, préférence de température moyenne de l’Usager, etc.

  • des données relatives aux potentiels échanges entre les Usagers et les Tiers avec Ubiant (les « Données Service Client »)

Par exemple : demande d’informations sur une formule d’abonnement, d’assistance technique, etc.

  • des données relatives à l’utilisation de l’Application par le biais de cookies et autres traceurs sur Internet (les « Données de Navigation »)

Par exemple : dates et heures de connexion à l’Application, adresse IP, types de protocoles et navigateurs utilisés, etc.

  • les données relatives aux directives particulières pour cause de mort susceptibles d’être confiées par les Usagers ou les Tiers à Ubiant, y compris pour la désignation d’un tiers auquel les données les concernant pourraient être communiquées (les « Données Directives Décès »)

Par exemple : nom, prénom et toute autre information permettant d’identifier sans ambiguïté ledit tiers, etc.

(collectivement les « Données »).

Pour plus d’informations sur les cookies et autres traceurs sur Internet utilisés par Ubiant, les Usagers sont invités à consulter la politique de cookies Hemis accessible à l’adresse https://www.ubiant.com/legal4/ .

2. Les éventuelles données sensibles collectées et traitées par Ubiant

Ubiant peut être amenée à traiter des Données qualifiées de données sensibles au sens de la règlementation applicable, car pouvant incidemment révéler les convictions religieuses des Usagers ou encore leur orientation sexuelle.

Ce sera par exemple le cas si aucune utilisation de l’électricité et de l’Application n’est enregistrée entre vendredi soir et samedi soir (ce qui peut indiquer une appartenance à la religion juive) ou si une seule pièce est référencée comme chambre dans un logement partagé sur l’Application par deux personnes du même sexe  (ce qui peut indiquer une orientation homosexuelle ou bisexuelle des occupants).

Il ne peut par ailleurs être exclu qu’Ubiant soit amenée à traiter d’autres Données qualifiées de sensibles, car pouvant révéler incidemment l’origine raciale ou ethnique, les opinions politiques, les convictions philosophiques ou l’appartenance syndicale ou concernant la vie sexuelle.

Ce sera par exemple le cas de photographies révélant l’une de ces informations ou encore d’informations spontanément portées à la connaissance d’Ubiant par des Usagers ou des Tiers dans le cadre de leurs échanges avec Ubiant.

Ces informations communiquées à Ubiant et constituant des données sensibles ne sont pas exploitées en tant que telles par Ubiant qui n’en tire aucune déduction, ni distinction.

Le traitement des autres données sensibles communiquées par Ubiant via l’Application repose sur le consentement exprès des Usagers recueilli lors de la conclusion de contrats avec les Usagers, ainsi que sur le consentement des Tiers dont se portent fort les Usagers communiquant à Ubiant des Données sur ces Tiers (voir sur ce point article 7.).

3. Finalités et fondements juridiques du traitement

En application de l’article 7 de la loi Informatique et Libertés et de l’article 6 du RGPD, tout traitement de données à caractère personnel, pour être licite, doit reposer sur l’un des fondements juridiques énoncés à ces articles.

Le tableau ci-dessous expose les différentes finalités pouvant être poursuivies lors du traitement des Données par Ubiant et les fondements juridiques sur lesquelles repose la poursuite de chacune de ces finalités.

Finalités poursuivies

Fondements juridiques

Gestion et de suivi des relations contractuelles et précontractuelles pour :
– l’envoi d’informations requises par les Usagers et les Tiers envisageant de créer un compte sur l’Application ou souscrire un abonnement
– la gestion des contrats entre Ubiant et les Usagers ;
– la conclusion et le suivi de l’exécution des contrats conclus avec Ubiant ;
– la gestion des comptes sur l’Application ;
– le recueil et la conservation de la preuve du consentement des Usagers à la conclusion des contrats conclus avec Ubiant
– la gestion des demandes des Usagers relatives à l’exécution des services fournis par Ubiant
Pour les Données concernant les Usagers (hors données bancaires) : exécution du contrat auquel l’Usager est partie ou exécution de mesures précontractuelles prises à la demande d’un Usager ou d’un Tiers

Pour les données bancaires des Usagers : consentement exprès des Usagers (recueilli lors de la conclusion de contrats avec les Usagers)

Respect des obligations légales pesant sur Ubiant, et notamment :
– vérification de ses fichiers de prospection par l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique
– gestion des droits des Usagers et des Tiers rappelés à l’article 7.
Respect des obligations légales auxquelles Ubiant est soumise
Fourniture d’une partie des services de la solution Hemis consistant à :
ü recueillir et héberger des Données Brutes sur des serveurs pour les besoins de la solution Hemis ou à la demande d’Usagers ou pour le compte de tiers autorisés par les Usagers
Par exemple : stockage des mesures de la température, de l’humidité, de la luminosité ou encore des sons émis dans une pièce, des mesures de la consommation d’électricité, d’eau ou encore de gaz, état ouvert ou fermé des fenêtres, etc.
ü transmettre de façon sécurisée les Données aux Usagers et aux tiers autorisés par les Usagers, chacun de ces acteurs poursuivant alors leurs propres finalités dans le traitement des Données
Par exemple : communication de certaines Données aux fabricants des Objets Connectés, à des hébergeurs tiers, aux autres occupants des logements, etc.
ü mettre en forme, analyser et enrichir des Données pour restituer des Données Enrichies aux Usagers et éventuellement aux tiers autorisés par les Usagers, chacun de ces acteurs poursuivant alors leurs propres finalités dans le traitement des Données
Par exemple : analyse de la consommation énergétique pour déterminer des objectifs de réduction de la consommation
ü fourniture d’une solution logicielle interactive via l’Application, afin de permettre notamment aux Usagers de déclencher à distance des actions à l’aide des Objets Connectés (par exemple : extinction du chauffage ou de la climatisation) et de définir des ensembles d’Actions à déclencher à l’occasion d’événements prédéterminés (par exemple : prévision d’une fermeture de toutes les portes et volets et du déclenchement d’une alarme lors d’un départ en congés)
Pour les Données non sensibles concernant les Usagers : exécution du contrat auquel l’Usager est partie ou exécution de mesures précontractuelles prises à la demande de l’Usager

Pour les Données non sensibles concernant les Tiers : intérêts légitimes des Usagers (personnalisation des services fournis par Ubiant)

Pour les Données sensibles concernant les Usagers : consentement exprès des Usagers (recueilli lors de la conclusion de contrats avec les Usagers ou via l’Application)

Pour les Données sensibles concernant les Usagers : consentement exprès des Tiers (dont se portent fort les Usagers – voir sur ce point article 7.)

Fourniture de l’autre partie des services de la solution Hemis consistant à transmettre de façon sécurisée les Données aux Usagers et aux tiers autorisés par les Usagers, chacun de ces acteurs poursuivant alors leurs propres finalités dans le traitement des Données (sauf éventuellement les hébergeurs choisis par les Usagers pour stocker leurs Données) Pour les Données concernant les Usagers abonnés : consentement des Usagers abonnés par tiers autorisé (recueilli par le tiers autorisé ou lors de la conclusion de contrats avec les Usagers abonnés ou via l’Application) OU respect des obligations légales auxquelles Ubiant est soumise OU exécution du contrat avec le tiers autorisé auquel l’Usager abonné est partie ou exécution de mesures précontractuelles par un tiers autorisé prises à la demande d’un Usager abonné

Pour les Données concernant les Usagers non abonnés et les Tiers : consentement des Usagers non abonnés et des Tiers (dont se portent fort les Usagers abonnés – voir sur ce point articles 6. et 7.) OU respect des obligations légales auxquelles Ubiant est soumise OU intérêts légitimes des Usagers (notamment respect des contrats conclus avec des tiers – en cas de contrat de location prévoyant le transfert de certaines Données au syndic par exemple – et accès à des services fournis par des tiers – par exemple en cas d’hébergement des Données chez un tiers choisi par l’Usager abonné)

Organisation de programmes de fidélisation Intérêts légitimes d’Ubiant (renforcement de la clientèle existante)
Gestion des avis des Usagers, contrôle de la qualité des services fournis par les sous-traitants d’Ubiant et réalisation de statistiques commerciales Intérêts légitimes d’Ubiant (amélioration des services et des offres)
Prospection par Ubiant et ses partenaires Consentement exprès des Usagers (recueilli lors de la conclusion de contrats avec les Usagers)
Suivi de l’audience et facilitation de la navigation sur l’Application Intérêts légitimes (amélioration des services et des offres)

4. Caractère obligatoire ou facultatif des Données

Pour créer un compte sur l’Application sans être abonné directement à la solution Hemis, le nom et le prénom de l’Usager, sa date de naissance et son adresse électronique doivent notamment obligatoirement être fournis. A défaut, l’Usager ne pourra créer son compte sur l’Application, ne pourra pas souscrire d’abonnement à la solution Hemis et ne pourra pas bénéficier des services proposés par Ubiant dans le cadre de la solution Hemis.

Pour s’abonner à la solution Hemis après la création d’un compte, l’Usager devra également identifier le bâtiment physique pour lequel il souhaite bénéficier de la solution et préciser s’il a à l’égard de ce bâtiment physique le statut de propriétaire ou de simple occupant. A défaut, il ne pourra pas souscrire d’abonnement à la solution Hemis qui doit être nécessairement être rattachée a minima à un bâtiment.

Pour bénéficier des services de la solution Hemis, la collecte de Données Brutes provenant d’a minima un Objet Connecté est nécessaire. A défaut, aucun service relatif au bâtiment ne pourra être fourni à l’Usager via l’Application.

La preuve de la présence dans le bâtiment physique connecté peut également être demandée dans certains cas par Ubiant.

Ces exigences de fourniture de Données ont un caractère contractuel.

Pour pouvoir exercer leurs droits rappelés à l’article 8., la communication de justificatifs d’identité sera requise des Usagers et des Tiers. La non-communication de ces justificatifs peut empêcher Ubiant de répondre aux demandes formées par l’Usager ou le Tiers sur le fondement de ses droits.

Ces exigences de fourniture de Données revêtent un caractère réglementaire.

La collecte d’autres Données peut être obligatoire. Toutes les données dont la collecte est obligatoire, la nature contractuelle ou règlementaire de cette obligation de fourniture, ainsi que les conséquences de l’absence fourniture des données concernées sont alors portées à la connaissance des Usagers.

Ubiant ne pourra être tenue responsable des potentiels empêchements mentionnés ci-dessus en cas de refus de communication des Données par l’Usager.

5. Destinataires, confidentialité et sécurité des Données

Ubiant est amenée à communiquer des Données :

  • à ses sous-traitants. Ces sous-traitants sont tenus d’une obligation de confidentialité et de sécurité, ainsi que, à partir du 25 mai 2018, d’autres obligations énumérées dans le RGPD. Ubiant choisit avec soin ses sous-traitants et demeure en tout état de cause responsable du traitement des Données par ses sous-traitants conformément à la loi Informatique et Libertés et au RGPD.
  • aux autres Usagers avec lesquels l’Usager a émis le souhait de partager un logement sur l’Application et donc certaines de ses Données de Contrat, les Données Brutes, les Données d’Utilisation et les Données Enrichies. Chaque Usager procède lui-même à un traitement de données dont il est responsable. Lorsque l’Usager traite les Données pour le compte d’une personne morale ou s’il traite les Données au cours d’activités qui ne sont pas strictement personnelles ou domestiques en lien avec une activité professionnelle ou commerciale, l’Usager est lui-même responsable du traitement de Données qu’il met en œuvre et est tenu à cet égard des obligations énoncées par la loi Informatique et Libertés et le RGPD.
  • aux autres Usagers qui partagent avec l’Usager un logement sur l’Application et donc certaines de ses Données de Contrat les Données Brutes, les Données d’Utilisation et les Données Enrichies. Chaque Usager procède lui-même à un traitement de données dont il est responsable. Lorsque l’Usager traite les Données pour le compte d’une personne morale ou s’il traite les Données au cours d’activités qui ne sont pas strictement personnelles ou domestiques en lien avec une activité professionnelle ou commerciale, l’Usager est lui-même responsable du traitement de Données qu’il met en œuvre et est tenu à cet égard des obligations énoncées par la loi Informatique et Libertés et le RGPD.
  • aux fabricants d’Objets Connectés avec l’autorisation expresse des Usagers recueillie lors de la conclusion de contrats avec les Usagers ou via l’Application. Le cas échéant, Ubiant ne communique à chaque fabricant d’Objets Connectés que les Données Brutes émises par leurs propres Objets Connectés. Les fabricants d’Objets Connectés sont eux-mêmes responsables des Données qu’ils traitent et sont tenus à cet égard des obligations énoncées par la loi Informatique et Libertés et le RGPD.
  • aux maîtres d’ouvrages, maîtres d’œuvres et constructeurs des bâtiments connectés grâce à la solution Hemis avec l’autorisation expresse des Usagers recueillie lors de la conclusion de contrats avec les Usagers ou via l’Application. Ces tiers sont eux-mêmes responsables des Données qu’ils traitent et sont tenus à cet égard des obligations énoncées par la loi Informatique et Libertés et le RGPD.
  • aux énergéticiens avec l’autorisation expresse des Usagers recueillie lors de la conclusion de contrats avec les Usagers ou via l’Application. Ces tiers sont eux-mêmes responsables des Données qu’ils traitent et sont tenus à cet égard des obligations énoncées par la loi Informatique et Libertés et le RGPD.
  • aux gestionnaires d’immeuble (par exemple, syndic de copropriété) avec l’autorisation expresse des Usagers recueillie lors de la conclusion de contrats avec les Usagers ou via l’Application. Ces tiers sont eux-mêmes responsables des Données qu’ils traitent et sont tenus à cet égard des obligations énoncées par la loi Informatique et Libertés et le RGPD.
  • aux responsables des services généraux et des équipements (« Facility Manager ») des bâtiments connectés grâce à la solution Hemis avec l’autorisation expresse des Usagers recueillie lors de la conclusion de contrats avec les Usagers ou via l’Application. Ces tiers sont eux-mêmes responsables des Données qu’ils traitent et sont tenus à cet égard des obligations énoncées par la loi Informatique et Libertés et le RGPD.
  • aux hébergeurs auxquels les Usagers peuvent décider de confier le stockage de certaines de leurs Données. Selon les cas, ces tiers sont eux-mêmes responsables des Données qu’ils traitent (et sont alors tenus à cet égard des obligations énoncées par la loi Informatique et Libertés et le RGPD) ou sous-traitants pour le compte des Usagers (qui sont alors eux-mêmes responsables du traitement et susceptibles d’être tenus des obligations énoncées par la loi Informatique et Libertés et le RGPD – ci-dessus).

Sous réserve de ce qui précède, Ubiant s’engage à ne jamais divulguer les Données qu’elle traite, sauf avec l’autorisation expresse de l’Usager ou de celle du Tiers dont se porte fort l’Usager ou dans des circonstances très particulières, telles que celles envisagées ci-dessus et ci-dessous :

  • Ubiant peut être amenée, du fait de la loi, dans le cadre d’une procédure judiciaire, d’un litige et/ou d’une requête des autorités publiques, à divulguer des Données ;
  • Ubiant peut divulguer des Données si elle pense qu’à des fins de sécurité nationale, d’application de la loi ou autre motif d’intérêt général, la divulgation est nécessaire ou appropriée.

6. Attribution et gestion des accès aux Données Brutes et Enrichies issues des Objets Connectés

Les Données Brutes et Enrichies issues des Objets Connectés sont accessibles via l’Application. Elles y sont classées par bâtiments physiques auxquels elles se rapportent au sein de doubles virtuels de ces Bâtiments physiques (le ou les « Bâtiments Virtuels Hemis »).

Chacun des rôles définis lors de la création, le partage, le transfert (en location ou totale) et le détachement/rattachement forcé d’un Bâtiment Virtuel Hemis permet aux Usagers d’accéder à toutes ou partie des Données Brutes et Enrichies.

L’étendue de l’accès à ces Données Brutes et Enrichies dépend en tout premier lieu de l’occupation ou non du bâtiment physique correspondant. Les Usagers n’occupant pas le Bâtiment physique ne peuvent en effet par défaut pas accéder aux Données Brutes et Enrichies recueillies et produites durant l’occupation du bâtiment physique par des tiers, Usagers ou non, dans la mesure où ces données sont susceptibles de révéler des informations personnelles sur ces tiers.

Par exemple l’Usager ayant transféré en location le Bâtiment Virtuel Hemis à son locataire ne peut par défaut pas accéder aux Données Brutes et Enrichies produites durant le transfert en location.

L’étendue de l’accès aux Données Brutes et Enrichies dépend en second lieu de la volonté de l’Usager ayant souscrit l’abonnement pour le Bâtiment Virtuel Hemis (qu’il soit propriétaire du bâtiment physique ou encore simple occupant bénéficiant d’un transfert en location).

Par exemple, l’Usager abonné se voit offrir la possibilité de partager son Bâtiment Virtuel Hemis et les Données Brutes et Enrichies produites durant son abonnement (voir antérieurement en cas d’autorisations délivrées par des anciens Usagers) avec d’autres Usagers, occupant par exemple avec lui le bâtiment physique. Lors de l’émission par un Usager abonné d’une proposition de partage, l’attention de l’Usager sera attirée sur le fait que l’acceptation de cette proposition par un autre Usager emporte partage avec celui-ci des Données Brutes et Enrichies produites durant son abonnement (voire antérieurement).

L’Usager Abonné se voit également offrir la possibilité de transférer à des Usagers, par exemple aux nouveaux occupants d’un bâtiment physique qu’il quitte, en même temps que le Bâtiment Virtuel, certaines Données Brutes et Enrichies qui peuvent être utiles pour ces Usagers. L’autorisation de l’Usager Abonné sera demandée via l’Application avant tout transfert de cette nature.

Enfin, l’Usager abonné se voit aussi offrir la possibilité d’autoriser certains tiers, Usagers ou non, à accéder à tout ou partie des Données Brutes et Enrichies (voir la liste de ces tiers destinataires, article 5. ci-dessus). L’autorisation de l’Usager Abonné sera demandée via l’Application pour chaque tiers destinataire ou catégorie de tiers destinataires, sauf si cet accès résulte d’une exigence légale ou règlementaire ou si l’Usager abonné a  préalablement donné  son autorisation directement au tiers par le biais d’un contrat ou tout autre moyen.

Lorsque plusieurs Usagers partagent un Bâtiment Virtuel Hemis, l’Usager ayant souscrit l’abonnement relatif à ce Bâtiment Virtuel Hemis se porte fort de l’accord de tous les autres Usagers sur les accès par des tiers aux Données Brutes et Enrichies qu’il autorise.

7. Protection de la vie privée des Tiers et respect de la règlementation applicable

Les Usagers et les Tiers sont susceptibles de communiquer à Ubiant des données à caractère personnel concernant des Tiers. Cela pourra notamment être le cas dans le cadre de l’Application pour les autres occupants des logements rattachés à un compte (par exemple, lors du nommage d’une pièce du logement, de l’envoi d’une photographie d’une pièce ou encore en cas d’invitation à un partage de logement), en cas de communication de l’adresse électronique d’un Tiers par un Usager pour proposer à ce Tiers de partager avec lui ou de lui transférer son accès à un Bätiment Virtuel Hemis  ou encore en cas de désignation d’un Tiers auquel les données le concernant pourront être communiquées après le décès d’un Usager.

Pour information, une donnée à caractère personnel est définie à l’article 4 1) du RGPD comme « toute information se rapportant à une personne physique identifiée ou identifiable […] ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». La définition retenue à l’article 2  de la loi Informatique et Libertés est similaire.

A l’instar du traitement de données à caractère personnel concernant les Usagers, le traitement de données à caractère personnel concernant les Tiers est soumis à la loi Informatique et Libertés et, à compter du 25 mai 2018, au RGPD.

L’attention des Usagers et des Tiers est attirée sur :

  • le fait qu’il est recommandé de minimiser autant que cela est possible la communication à Ubiant de Données concernant des Tiers (les Usagers doivent communiquer uniquement les Données sur les Usagers qu’ils estiment strictement nécessaires pour pouvoir bénéficier à leur gré des services fournis par Ubiant sans violer le droit au respect de la vie privée de tiers, et notamment des autres occupants de son logement) ;
  • le fait que la règlementation applicable exige notamment la communication aux Tiers concernés par les Données communiquées à Ubiant d’un certain nombre d’informations sur le traitement de leurs données.Concernant le traitement des Données dont est responsable Ubiant, les Usagers et les Tiers se portent fort de la communication de la présente Politique de confidentialité à ces Tiers concernés.Concernant le traitement des Données dont peuvent être eux-mêmes responsables les Usagers et les Tiers, ces derniers sont invités sont invités à consulter la liste d’informations qu’ils seront tenus de communiquer sur ce traitement et les modalités d’information (voir notamment l’article 32 de la loi Informatique et Libertés, les articles 90 et suivants du décret n°2005-1309 du 20 octobre 2005 et, à partir du 25 mai 2018, les articles 12 à 14 et les considérants 58 à 62 du RGPD).
  • le fait que la règlementation applicable exige également que le consentement des Tiers soit recueilli avant de poursuivre certaines finalités de traitement.Concernant le traitement des Données dont est responsable Ubiant, les Usagers et les Tiers communiquant à Ubiant des données sur des Tiers se portent fort du recueil du consentement des Tiers concernés (préalablement à la communication des Données à Ubiant) pour les finalités identifiées à l’article 3. comme requérant un tel consentement.Concernant le traitement des Données dont peuvent être eux-mêmes responsables les Usagers et les Tiers, ces derniers sont invités sont invités à consulter la liste des bases légales sur lesquelles pourrait reposer tout ou partie de ce traitement et, en cas de nécessité, à recueillir le consentement des Tiers concernés (voir notamment l’article 7 de la loi Informatique et Libertés, l’article 2 h) de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 et, à partir du 25 mai 2018, les articles 5, 7 et 8 et les considérants 32, 38, 42 et 43 du RGPD).
  • le fait que la règlementation applicable encadre aussi très strictement le traitement de données qualifiées de sensibles telles que définies à l’articleConcernant le traitement des Données dont est responsable Ubiant, les Usagers et les Tiers communiquant à Ubiant de telles données sensibles sur des Tiers se portent fort du recueil du consentement exprès et spécifique des Tiers concernés (préalablement à la communication des Données à Ubiant) à la collecte et le traitement de données sensibles les concernant (ce consentement devant être distinct du consentement général au traitement de données envisagé à la puce précédente).Concernant le traitement des Données dont peuvent être eux-mêmes responsables les Usagers et les Tiers, ces derniers sont invités sont invités à consulter les règles encadrant le traitement des données sensibles (voir l’article 8 de la loi Informatique et Libertés et, à partir du 25 mai 2018, l’article 9 et les considérants 51 et suivants du RGPD – les « catégories particulières de données » mentionnées dans le RGPD et la directive 95/46/CE mentionnée ci-dessus correspondant aux données sensibles).

Les Usagers et les Tiers s’engagent à veiller au respect de la règlementation applicable et garantissent Ubiant à ce titre.

Les Usagers et les Tiers garantissent plus généralement à Ubiant qu’ils disposent des droits et autorisations nécessaires pour traiter les informations qu’ils lui communiquent directement ou par le biais d’Objets Connectés et s’engagent à lui apporter la preuve de ce fait sur simple demande d’Ubiant

Les textes visés ci-dessus sont accessibles par le biais des liens suivants :

8. Droits des Usagers et Tiers

Jusqu’au 24 mai 2018, les Usagers et les Tiers disposent dans les conditions définies aux articles 38 et suivants de la loi Informatique et Libertés, sauf exceptions :

  • du droit d’obtenir auprès d’Ubiant :
    • la confirmation que des données à caractère personnel les concernant font ou ne font pas l’objet d’un traitement ;
    • des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées (toutes ces informations sont communiquées dans la présente Politique de confidentialité) ;
    • le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d’un Etat non membre de l’Espace Economique Européen (voir sur ce point article ) ;
    • la communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ;
    • les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard des Usagers ou des Tiers

(droit dit d’accès – article 39 de la loi Informatique et Libertés) ;

  • du droit d’exiger d’Ubiant que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel les concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite (droit dit de rectification et d’effacement – article 40 I. de la loi Informatique et Libertés) ;
  • du droit d’exiger d’Ubiant l’effacement dans les meilleurs délais des données à caractère personnel qui ont été collectées dans le cadre de l’offre de services de la société de l’information lorsque l’Usager ou le Tiers était mineur au moment de la collecte (droit dit du droit à la mort numérique – article 40 II. de la loi Informatique et Libertés) ;
  • du droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel les concernant fassent l’objet d’un traitement (droit dit d’opposition – article 38, 1er alinéa, de la loi Informatique et Libertés);
  • du droit de s’opposer, sans frais, à ce que les données les concernant soient utilisées à des fins de prospection, notamment commerciale, par Ubiant ou le responsable d’un traitement ultérieur (droit dit d’opposition – article 38, 2e alinéa, de la loi Informatique et Libertés).

A compter du 25 mai 2018, les Usagers et les Tiers disposent dans les conditions définies aux articles 15 et suivants du RGPD, sauf exceptions :

  • du droit de retirer à tout moment leur consentement aux parties du traitement mis en œuvre par Ubiant fondées sur ledit consentement (sur les parties concernées voir article )(article 7.3 du RGPD) ;
  • du droit d’obtenir d’Ubiant la confirmation que des données à caractère personnel les concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi qu’à plusieurs informations sur les traitements (finalités du traitement, catégories de données à caractère personnel concernées, destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée, etc.) (toutes ces informations sont communiquées dans la présente Politique de confidentialité) (droit dit d’accès – article 15 du RGPD) ;
  • du droit d’obtenir d’Ubiant, dans les meilleurs délais, la rectification des données à caractère personnel les concernant qui sont inexactes (droit dit de rectification – article 16 du RGPD) ;
  • du droit d’obtenir d’Ubiant l’effacement, dans les meilleurs délais, de données à caractère personnel les concernant dans certains cas (droit dit d’effacement ou à l’oubli – article 17 du RGPD) ;
  • du droit d’obtenir d’Ubiant la limitation du traitement dans certains cas (droit dit à la limitation du traitement – article 18 du RGPD) ;
  • du droit de recevoir les données à caractère personnel les concernant qu’ils ont fournies à Ubiant, dans un format structuré, couramment utilisé et lisible par machine, et du droit de transmettre ces données à un autre responsable du traitement sans qu’Ubiant y fasse obstacle, lorsque le traitement est fondé sur le consentement ou sur un contrat et que le traitement est effectué à l’aide de procédés automatisés (voir à cet égard article ) (droit dit à la portabilité des données – article 20 du RGPD) ;
  • du droit d’obtenir à tout moment d’Ubiant, pour des raisons tenant à leur situation particulière, qu’il ne procède plus au traitement des données à caractère personnel les concernant dans certains cas (droit dit d’opposition – article 21 1. du RGPD) ;
  • du droit de s’opposer à tout moment au traitement des données à caractère personnel les concernant à des fins de prospection (droit dit d’opposition à la prospection – article 21 2. du RGPD) ;
  • du droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques les concernant ou les affectant de manière significative de façon similaire (article 22 du RGPD).

Avant comme après le 25 mai 2018, les Usagers et les Tiers ont également :

  • le droit d’introduire une réclamation auprès de l’autorité française de protection des données, la CNIL, ou toute autre autorité locale de protection des données compétente ;
  • le droit de définir, modifier et révoquer à tout moment des directives relatives à la conservation, à l’effacement et à la communication de leurs données à caractère personnel après leur mort en application de l’article 40-1 de la loi Informatique et Libertés. Ces directives peuvent être générales ou particulières. Ubiant peut être uniquement dépositaire des directives particulières concernant les Données qu’elle traite, les directives générales pouvant être recueillies et conservées par un tiers de confiance numérique certifié par la Commission Nationale de l’Informatique et des Libertés.

Les Usagers et les Tiers ont aussi le droit de désigner un tiers auquel les données le concernant pourront être communiquées après leur mort. Conformément à l’article 7. ci-dessus, ils s’engagent alors à informer ce tiers de leur démarche et du fait que des données permettant de les identifier sans ambiguïté seront transmises à Ubiant, à lui communiquer la présente Politique de confidentialité et à recueillir son consentement au traitement des données concernant ce Tiers qui s’ensuivra nécessairement.

Sous réserve de justifier de leur identité et des éléments susvisés, les Usagers et les Tiers peuvent exercer ces droits en écrivant à Ubiant à l’adresse électronique suivante : contact@ubiant.com ou à l’adresse postale suivante Immeuble Le Silex – Espace Nextdoor, 15, rue des Cuirassiers – 69487 Lyon Cedex 03.

L’Usager peut également procéder à certaines rectifications ou suppressions directement à partir de son compte créé via l’Application.

Les Usagers et les Tiers peuvent contacter Ubiant à l’adresse électronique ou à l’adresse postale précédemment mentionnées pour toute question relative à la Politique de confidentialité et aux Données.

9. Durées de conservation

Les Données sont conservées pendant le temps strictement nécessaire aux finalités décrites ci-dessus à l’article 3.

Données concernées

Durées de conservation sous une forme permettant directement ou indirectement une identification (sauf exceptions*)

Données de Contrats (hors documents comptables et données bancaires), Données d’Utilisation et Données Services Client 5 ans à compter de la fin du ou des contrats conclus entre l’Usager et Ubiant
Documents comptables (factures, bons de commande, etc.) 10 ans à compter de leur émission
Données bancaires (numéro de la carte bancaire et date de validité) Jusqu’à la fin du ou des contrats conclus entre l’Usager et Ubiant ou jusqu’à l’expiration de la validité de la carte bancaire
Données bancaires (cryptogramme visuel) Temps nécessaire à la réalisation de la première transaction
Adresses électroniques de Tiers communiquées par les Usagers pour partager avec eux ou leur transférer leur accès à un Bâtiment Virtuel Hemis Temps nécessaire à l’envoi de l’email au tiers
Données Brutes 3 ans à compter de leur collecte sous une forme détaillée, puis jusqu’à la fin du ou des contrats conclus entre l’Usager et Ubiant sous une forme agrégée
Données Enrichies 3 ans à compter leur production sous une forme détaillée, puis jusqu’à la fin du ou des contrats conclus entre l’Usager et Ubiant sous une forme agrégée
Données de Navigation associée à un Usager ou à un Tiers 13 mois à compter de leur collecte
Données Directives Décès Aussi longtemps que les données concernées par les directives seront conservées
Copie de la pièce d’identité communiquée dans le cadre de l’exercice de droits par un Usager ou un Tiers 1 an à compter de la date de réception par Ubiant
Données relatives à l’exercice d’un droit d’accès, de rectification, d’effacement, à la portabilité 1 an à compter de la date de l’exercice
Données relatives à l’exercice d’un droit d’opposition ou d’un droit au retrait du consentement 3 ans à compter de la date de l’exercice
Données relatives à l’exercice d’un droit à la limitation d’un traitement 1 an à compter de la fin de la limitation du traitement

A l’issue des durées précédemment listées, les Données concernées feront l’objet soit d’une suppression, soit d’une anonymisation.

* Par exception aux paragraphes précédents :

  • l’Usager peut choisir de ne pas bénéficier des services d’Ubiant fondées sur l’apprentissage à l’aide des Données Brutes et Enrichies (par exemple pour prédire la consommation énergétique dans les prochains mois). Le cas échéant, Ubiant ne produira pas de Données Enrichies et ne conservera les Données Brutes que le temps nécessaire à la fourniture des autres services de la solution Hemis associés aux objets connectés (par exemple une semaine pour un thermostat programmable sur 7 jours ou une année pour le calcul de la consommation annuelle de consommation énergétique).
  • en cas de contentieux, toutes ou certaines des Données pourront faire l’objet d’une conservation prolongée si celles-ci s’avèrent utiles pour ledit contentieux ;
  • à défaut de directives particulières contraires signifiées dans les conditions prévues à l’article , il est précisé qu’en cas de mort d’un Usager ou d’un Tiers, toutes les Données concernant celui-ci seront supprimées par Ubiant dans un délai d’un (1) mois à compter de la notification de l’acte de décès faite à Ubiant par lettre recommandée avec accusé de réception.

10. Transferts en dehors de l’Espace Economique Européen

Les Données sont hébergées par Ubiant sur le territoire de l’Espace Economique Européen.

Toutefois, Ubiant peut être amenée à transférer des Données en dehors de l’Espace Economique Européen à destination des fabricants d’Objets Connectés vers les pays dans lesquels sont établis ces fabricants et/ou leurs serveurs.

Aucune liste a priori de ces pays ne peut être dressée compte tenu du fait que le contenu de celle-ci dépend non pas de la volonté d’Ubiant, mais de celles des fabricants des Objets Connectés que les Usagers décideront d’installer dans leurs logements.

Les données transférées seront le cas échéant les Données Brutes et certaines Données de Contrat. Elles seront transférées à des fins de transmission notamment aux fabricants d’Objets Connectés, qui eux-mêmes poursuivront leurs propres finalités.

Ces transferts seront encadrés par des contrats signés par Ubiant et les destinataires des Données incluant les clauses contractuelles types adoptées par la Commission européenne dans sa décision datée du 5 février 2010 n°2010/87/UE. Les Usagers et les Tiers peuvent obtenir une copie de ces clauses contractuelles types signées par Ubiant et chaque fabricant d’Objets Connectés le concernant en écrivant à Ubiant à l’adresse électronique suivante : contact@ubiant.com ou à l’adresse postale suivante : Immeuble Le Silex – Espace Nextdoor, 15, rue des Cuirassiers – 69487 Lyon Cedex 03.