Politique de confidentialité

Dernière mise à jour : 28 avril 2026

Version : 2.0

Préambule

La société Ficha (ci-après « Ficha », « nous » ou « notre »), Société par actions simplifiée (SAS) au capital social de [Capital social – à compléter] euros, immatriculée au Registre du commerce et des sociétés de Grenoble sous le numéro SIREN 881 734 800, dont le siège social est situé 12 rue Pierre Semard, 38000 Grenoble, France, attache la plus grande importance au respect de la vie privée et à la protection des données à caractère personnel des utilisateurs de ses produits et services.

La présente Politique de confidentialité (ci-après la « Politique ») a pour objet de vous informer, de manière claire et transparente, de la manière dont Ficha collecte, utilise, conserve, partage et protège vos données à caractère personnel lorsque vous utilisez l'un quelconque de nos Produits (tels que définis ci-après) ou que vous interagissez avec nous.

Cette Politique a été rédigée conformément :

au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD ») ;

à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« Loi Informatique et Libertés ») ;

aux lignes directrices et recommandations de la Commission nationale de l'informatique et des libertés (« CNIL »).

En utilisant nos Produits, vous reconnaissez avoir pris connaissance de la présente Politique. Si vous n'êtes pas d'accord avec ses termes, nous vous invitons à ne pas utiliser nos Produits.

Sommaire

1. Définitions

Aux fins de la présente Politique, les termes suivants ont la signification ci-après :

« Donnée(s) à caractère personnel » ou « Donnée(s) personnelle(s) » : toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, au sens de l'article 4.1 du RGPD.

« Traitement » : toute opération ou ensemble d'opérations effectuées sur des Données personnelles (collecte, enregistrement, conservation, modification, extraction, consultation, communication, effacement, destruction, etc.).

« Utilisateur » ou « vous » : toute personne physique qui utilise l'un des Produits Ficha ou interagit avec Ficha (visiteur du site, utilisateur d'application, ambassadeur, gestionnaire client, prospect, candidat, etc.).

« Produit(s) » : l'un quelconque des sites internet, applications web, applications mobiles ou capteurs IoT édités et exploités par Ficha, tels que listés à la section 2.

« Responsable de traitement » : la personne morale qui détermine les finalités et les moyens du Traitement, au sens de l'article 4.7 du RGPD.

« Sous-traitant » : la personne morale qui traite des Données personnelles pour le compte du Responsable de traitement, au sens de l'article 4.8 du RGPD.

2. Périmètre : les Produits Ficha concernés

La présente Politique s'applique à l'ensemble des Produits édités par Ficha. Les rôles que Ficha endosse en matière de traitement de données peuvent varier selon le Produit et l'usage qui en est fait.

Produit	URL / Plateforme	Public cible	Rôle de Ficha
Site vitrine Ficha	https://ficha.fr	Grand public, prospects	Responsable de traitement
Tableau de bord Camia	https://camia.ficha.fr	Salariés et agents des collectivités et opérateurs clients	Sous-traitant pour le compte du Client
Application Ambassadeur Camia	iOS et Android	Salariés et agents des collectivités, opérateurs de tri et délégataires de service public clients de Ficha (par exemple Suez, Brest Métropole)	Sous-traitant pour le compte du Client (collectivité / opérateur)
Application Utilisateur Cocon	iOS et Android	Utilisateurs finaux des dispositifs Cocon (résidents, particuliers triant leurs déchets)	Responsable de traitement (cycle de vie du compte utilisateur), peut agir en sous-traitant pour le compte d'une collectivité ou d'un bailleur dans certains cas
Gestionnaire Cocons	https://manager.ficha.fr	Bailleurs sociaux, syndics, collectivités, gestionnaires d'immeubles clients	Sous-traitant pour le compte du Client, Responsable conjoint pour certaines fonctionnalités annexes
Capteurs IoT embarqués (camions de collecte, dispositifs Cocon)	Hardware déployé sur le terrain	Indirectement : utilisateurs finaux dont les images de tri peuvent être captées ; salariés des collectivités opérant les véhicules	Sous-traitant pour le compte du Client

Précision sur les rôles : Lorsque Ficha intervient en qualité de sous-traitant pour le compte d'un Client (collectivité, bailleur, opérateur), c'est ce Client qui détermine les finalités du traitement et constitue le Responsable de traitement. La présente Politique vous informe néanmoins de la manière dont Ficha traite techniquement vos données et vous indique les modalités d'exercice de vos droits, étant précisé que pour certaines demandes, nous pourrons être amenés à les transférer au Responsable de traitement compétent.

3. Identité du responsable de traitement et coordonnées du DPO

3.1 Responsable de traitement

Ficha SAS

12 rue Pierre Semard 38000 Grenoble, France

SIREN : 881 734 800

Email : contact@ficha.fr

3.2 Délégué à la protection des données (DPO)

Conformément à l'article 37 du RGPD, Ficha a désigné un délégué à la protection des données :

Guillaume Dionisi, CTO et DPO de Ficha

Email : guillaume.dionisi@ficha.fr

Téléphone : +33 6 69 21 81 34

Adresse postale : 12 rue Pierre Semard, 38000 Grenoble, France

Vous pouvez contacter notre DPO pour toute question relative à la présente Politique ou pour exercer vos droits (voir section 11).

4. Catégories de données collectées, finalités, bases légales et durées de conservation

Ficha applique systématiquement les principes de minimisation et de proportionnalité : nous ne collectons que les données strictement nécessaires aux finalités poursuivies, et seulement pour la durée nécessaire à ces finalités.

Le tableau ci-dessous détaille les principaux traitements mis en œuvre.

4.1 Site vitrine ficha.fr

Catégorie de données	Finalité	Base légale	Durée de conservation
Données de navigation (adresse IP, type de navigateur, pages visitées, horodatage, référent) consignées dans nos logs serveurs	Sécurité et bon fonctionnement du site	Intérêt légitime (art. 6.1.f RGPD)	6 mois pour les logs serveurs
Identifiants de cookies et traceurs marketing	Mesure d'efficacité publicitaire, retargeting	Consentement (art. 6.1.a RGPD)	13 mois maximum (durée de vie du cookie)
Données fournies via formulaire de contact (nom, prénom, email, téléphone, message)	Réponse aux demandes d'information et de contact commercial	Mesures précontractuelles (art. 6.1.b RGPD) ou intérêt légitime (art. 6.1.f)	3 ans à compter du dernier contact (prospect)
Données de candidats spontanés ou en réponse à une offre (CV, lettre, expérience)	Gestion du recrutement	Mesures précontractuelles (art. 6.1.b) ; consentement pour la conservation au-delà du recrutement (art. 6.1.a)	2 ans après le dernier contact, sauf consentement explicite à une conservation prolongée

4.2 Application Utilisateur Cocon (iOS et Android)

Catégorie de données	Finalité	Base légale	Durée de conservation
Données d'identification : nom, prénom, adresse email ou numéro de téléphone, identifiant unique utilisateur	Création et gestion du compte, authentification	Exécution du contrat (art. 6.1.b RGPD)	Durée de vie du compte
Données de profil : résidence ou bailleur de rattachement	Détermination des récompenses et partenaires éligibles	Exécution du contrat (art. 6.1.b)	Durée de vie du compte
Données d'usage : nombre de tris effectués, points cumulés, historique d'échange de points, badges, classements	Délivrance des services de récompense et de gamification	Exécution du contrat (art. 6.1.b)	Durée de vie du compte ; statistiques anonymisées au-delà
Données de géolocalisation : position GPS de l'appareil (précise)	Localisation des bornes, points de collecte et commerçants partenaires à proximité	Consentement (art. 6.1.a) – activable/désactivable à tout moment dans les paramètres de l'appareil	Pendant la durée d'utilisation de la fonctionnalité ; non conservée au-delà de la session
Photos prises depuis l'application	Signalement de problème dans la gestion du tri dans la résidence	Exécution du contrat (art. 6.1.b)	Pendant le traitement de l'événement associé. Au-delà, les images peuvent être conservées sans aucun lien avec un compte utilisateur après anonymisation préalable, pour être référencé par le gestionnaire de la résidence.
Identifiants de l'appareil et données techniques : modèle, OS, version de l'app, langue, fuseau horaire	Diagnostic, résolution de bugs, sécurité	Intérêt légitime (art. 6.1.f)	Pendant le traitement des rapports de bug
Notifications push (token FCM/APNs)	Envoi de notifications relatives au compte, aux récompenses et aux événements	Consentement (art. 6.1.a) – activable/désactivable dans les paramètres de l'appareil	Tant que le token est valide
Logs de connexion et journaux d'événements	Sécurité, détection d'anomalies, prévention de la fraude	Intérêt légitime (art. 6.1.f) ; obligation légale en cas de réquisition (art. 6.1.c)	3 mois

4.3 Application Ambassadeur Camia (iOS et Android) et Tableau de bord Camia

Lorsque vous utilisez ces Produits dans le cadre de votre mission pour le compte d'une collectivité ou d'un opérateur, c'est cette entité qui est Responsable de traitement et Ficha agit en qualité de sous-traitant. La base légale précise du traitement est arrêtée par le Client dans le contrat de sous-traitance et peut, selon son statut, reposer sur l'exécution du contrat de travail (art. 6.1.b RGPD), une mission d'intérêt public (art. 6.1.e RGPD) pour les autorités publiques, ou l'intérêt légitime (art. 6.1.f RGPD). Les durées et finalités peuvent être adaptées aux instructions du Client.

Catégorie de données	Finalité	Base légale (déterminée par le Client)	Durée de conservation
Données d'identification professionnelle : nom, prénom, email professionnel, identifiant interne, rôle, équipe, collectivité de rattachement	Création du compte, authentification, attribution des droits	Exécution du contrat de travail (art. 6.1.b RGPD)	Durée du contrat avec le Client + délais de prescription ; suppression du compte sous 48h après départ d'un agent
Données de géolocalisation : trajets, points de passage, position en temps réel pendant les tournées	Suivi des actions de sensibilisation, remplissage automatique de l’adresse visitée	Exécution du contrat	Pendant la durée d'utilisation de la fonctionnalité
Identifiants techniques de l'appareil professionnel	Sécurité, audit, traçabilité	Intérêt légitime / Obligation légale (selon Client)	3 mois
Logs d'accès et d'actions	Sécurité, traçabilité, prévention de la fraude	Obligation légale / Intérêt légitime	3 mois

4.4 Gestionnaire Cocons (manager.ficha.fr)

Catégorie de données	Finalité	Base légale	Durée de conservation
Données d'identification professionnelle des gestionnaires (bailleurs, syndics, collectivités) : nom, prénom, email professionnel, fonction, organisation	Création du compte, authentification, support	Exécution du contrat	Durée du contrat avec le Client + délai de prescription (1 mois)
Données fonctionnelles : référentiel des bacs, supports de communication, données de résidences, indicateurs d'usage	Mise à disposition des fonctionnalités d'administration	Exécution du contrat	Durée du contrat avec le Client
Logs d'accès	Sécurité, traçabilité	Intérêt légitime ; Obligation légale	1 an minimum

4.5 Données collectées dans tous les cas (transverses)

Catégorie de données	Finalité	Base légale	Durée de conservation
Données de support utilisateur (échanges email, captures d'écran fournies, identifiants techniques)	Réponse aux demandes de support, résolution des incidents	Intérêt légitime ; Exécution du contrat	3 ans après la clôture du ticket
Données nécessaires à la facturation (raison sociale, adresse de facturation, n° TVA)	Comptabilité et obligations fiscales	Obligation légale (art. 6.1.c)	10 ans (obligations comptables et fiscales – Code de commerce, art. L123-22)

4.6 Précision sur l'entraînement des modèles d'intelligence artificielle

Certaines images collectées via les capteurs IoT et l'application Ambassadeur Camia peuvent être utilisées pour entraîner et améliorer les modèles d'intelligence artificielle de Ficha permettant la reconnaissance des déchets. Avant toute utilisation à cette fin, les images sont systématiquement anonymisées (suppression des métadonnées EXIF, brouillage des éléments susceptibles d'identifier une personne). Aucune donnée à caractère personnel directement identifiante n'est utilisée pour l'entraînement des IA.

5. Origine des données

Les Données personnelles que Ficha traite proviennent principalement :

directement de vous, lorsque vous renseignez des informations dans nos Produits (création de compte, formulaires, photos, etc.) ;

automatiquement, lorsque vous utilisez nos Produits (logs, données techniques, géolocalisation activée par vos soins, capteurs IoT) ;

de nos Clients (collectivités, bailleurs, opérateurs), lorsqu'ils vous attribuent un compte professionnel pour utiliser le Tableau de bord Camia, l'application Ambassadeur Camia ou le Gestionnaire Cocons ;

de partenaires de récompense (commerçants partenaires, plateformes de bons d'achat), pour la délivrance de récompenses contre des points dans Cocon (sans transmission de données identifiantes au-delà du strict nécessaire à la délivrance de la récompense).

Ficha ne procède pas à l'achat de fichiers de prospection auprès de courtiers en données.

5.1 Information relative à la collecte indirecte (article 14 RGPD)

Lorsque Ficha traite des Données vous concernant qui n'ont pas été collectées directement auprès de vous, par exemple :

des données fournies par votre bailleur, votre collectivité ou votre opérateur (appartenance à une résidence ou à une équipe, identifiant employé, rôle) ;

des images captées par les capteurs IoT embarqués sur les véhicules de collecte (passants, plaques d'immatriculation susceptibles d'apparaître à l'arrière-plan) ;

des données transmises par un partenaire dans le cadre d'une opération promotionnelle conjointe ;

la présente Politique tient lieu d'information au titre de l'article 14 du RGPD. Les catégories de données concernées et les finalités sont décrites à la section 4 ; les sources sont indiquées ci-dessus ; vos droits sont rappelés à la section 11. Lorsque la fourniture de l'information directement à la personne concernée est impossible ou exigerait des efforts disproportionnés, l'information est diffusée par tout moyen approprié (affichage sur les véhicules, communication par le Client à ses agents et administrés).

5.2 Capture incidente d'images de tiers par les capteurs IoT

Les capteurs IoT installés sur les véhicules de collecte des Clients de Ficha sont conçus pour reconnaître automatiquement le contenu des bacs et flux de déchets. Bien que cela ne soit pas leur finalité, il peut arriver que ces capteurs captent incidemment des images de passants, de riverains ou de plaques d'immatriculation.

Pour minimiser cette collecte fortuite :

les caméras sont orientées vers la zone de chargement des bacs et leur champ est restreint au strict nécessaire ;

les images font l'objet, dès leur captation, d'un traitement de floutage automatique des visages et plaques d'immatriculation détectés ;

les images ne sont pas conservées en clair au-delà du temps strictement nécessaire au traitement métier ; les images conservées à des fins d'amélioration des modèles d'IA sont systématiquement anonymisées au préalable ;

toute image faisant l'objet d'une demande d'exercice de droits par un tiers est traitée selon la procédure décrite à la section 11.

Une analyse d'impact relative à la protection des données (AIPD) a été réalisée pour ce traitement.

6. Caractère obligatoire ou facultatif des données

Lorsque Ficha collecte des Données personnelles, le caractère obligatoire ou facultatif est signalé au moment de la collecte (par exemple par un astérisque sur les formulaires).

Le refus de fournir les données obligatoires peut empêcher la création d'un compte, l'accès à certaines fonctionnalités ou la fourniture du service. Le refus de fournir les données facultatives n'a pas de conséquence sur l'accès aux fonctionnalités essentielles ; il peut limiter certaines fonctionnalités optionnelles.

À titre d'exemple, dans l'application Cocon utilisateur :

Refus de la géolocalisation : la carte des bornes et points de collecte à proximité, ainsi que la liste des partenaires de récompense locaux, ne pourront pas vous être présentées de manière personnalisée. Vous pourrez néanmoins utiliser le reste de l'application.

Refus de l'accès à la caméra ou aux photos : certaines fonctionnalités de signalement et de validation de tri par image ne seront pas disponibles.

Refus des notifications push : vous ne recevrez pas d'alerte sur l'attribution de points, les récompenses disponibles ou les opérations en cours dans votre zone. Les communications par email restent disponibles.

Refus de la création d'un compte (email/mot de passe) : l'accès aux fonctionnalités liées au cumul de points et à l'échange contre des récompenses est impossible.

Aucune Donnée n'est collectée par-delà ce qui est strictement nécessaire à la finalité poursuivie.

Ficha ne collecte pas de données audio : aucune fonctionnalité de nos Produits n'utilise le microphone de l'appareil.

7. Destinataires et sous-traitants

Ficha ne vend ni ne loue vos Données personnelles à des tiers. Les Données personnelles sont accessibles, dans la limite de ce qui est strictement nécessaire à leurs missions, aux destinataires suivants.

7.1 Destinataires internes

Les équipes Produit, Technique, Support, Commercial et Direction de Ficha, dans le cadre de leurs missions respectives, et dans le respect du principe du moindre privilège (gestion des accès via Google Cloud IAM, revue trimestrielle des droits, MFA obligatoire).

7.2 Destinataires externes

Nos Clients (collectivités, bailleurs, syndics, opérateurs de service public), pour les Produits qu'ils mettent à disposition de leurs agents ou administrés ;

Nos partenaires de récompense (commerçants locaux, plateformes de bons d'achat digitaux), pour la délivrance des récompenses dans Cocon (transmission limitée à un identifiant ou à un code unique, sans information identifiante non nécessaire) ;

Les autorités administratives, judiciaires et de contrôle, lorsque la loi nous y oblige (réquisition judiciaire, demande de la CNIL, etc.).

7.3 Sous-traitants

Ficha s'appuie sur un nombre limité de sous-traitants techniques, sélectionnés pour leurs garanties en matière de sécurité et de conformité au RGPD. Chaque sous-traitant est lié à Ficha par un contrat comportant les clauses requises par l'article 28 du RGPD (Data Processing Agreement / DPA).

Sous-traitant	Rôle	Localisation des données	Garanties / cadre du transfert
Google Cloud EMEA Limited / Google Cloud France (Google Cloud Platform, Firestore, Cloud Run, Cloud Storage, Cloud KMS, Cloud Functions, Cloud Logging, Cloud Monitoring, Cloud Audit Logs, Security Command Center, Google Cloud Armor, Cloud Secret Manager)	Hébergement, base de données, stockage des fichiers médias, gestion des clés, sécurité	Régions UE : France (europe-west9, Paris) et Belgique (europe-west1, St-Ghislain)	Certifications ISO/IEC 27001, 27017, 27018, SOC 2/3 ; chiffrement AES-256 au repos, TLS 1.2+ en transit ; DPA Google Cloud ; Clauses Contractuelles Types pour les opérations de support pouvant impliquer un transfert
Firebase (Google) : Firebase Authentication, Firebase Cloud Messaging, Firebase Analytics, Firebase Hosting	Authentification, notifications push, mesure d'audience applicative	UE (configuration multi-région)	Idem Google Cloud
Twilio Inc. / Twilio Ireland Limited	Envoi de SMS transactionnels (OTP, codes, notifications)	UE / États-Unis	DPA Twilio ; Clauses Contractuelles Types ; certifications ISO 27001, SOC 2. Contenu des SMS conservé par Twilio pendant la durée minimum imposée par la réglementation des opérateurs ; identifiants des envois conservés par Ficha 12 mois
Twilio Inc. – produit SendGrid	Envoi d'emails transactionnels (création de compte, magic link, notifications)	UE / États-Unis	DPA SendGrid (Twilio Inc.) ; Clauses Contractuelles Types

Liste détaillée des sous-traitants – Une liste à jour des sous-traitants utilisés par Ficha peut être obtenue sur simple demande auprès du DPO. Toute évolution significative de cette liste fait l'objet d'une communication aux Clients dans le cadre des relations contractuelles correspondantes.

8. Transferts de données hors de l'Union européenne

L'hébergement principal des données traitées par Ficha pour ses Produits a lieu exclusivement au sein de l'Union européenne (France et Belgique, via Google Cloud Platform).

Certains de nos sous-traitants (notamment Twilio, SendGrid) sont susceptibles, pour des opérations accessoires (support, sauvegarde, supervision) ou par leur nature même, de traiter des données depuis les États-Unis ou d'autres pays tiers.

Dans ce cas, Ficha s'assure qu'un cadre juridique conforme aux articles 44 et suivants du RGPD est mis en place, parmi :

une décision d'adéquation de la Commission européenne (par exemple le EU-US Data Privacy Framework pour les sous-traitants américains certifiés) ;

les Clauses Contractuelles Types (CCT) de la Commission européenne adoptées par la décision d'exécution (UE) 2021/914 du 4 juin 2021 ;

des mesures supplémentaires lorsqu'une analyse d'impact sur les transferts (TIA) le justifie : chiffrement renforcé, pseudonymisation, contractualisation spécifique.

Vous pouvez obtenir une copie de ces garanties sur demande auprès du DPO.

9. Cookies et autres traceurs

9.1 Qu'est-ce qu'un cookie ?

Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, tablette, smartphone) lorsque vous consultez un site internet ou une application. Il permet de reconnaître votre terminal lors de visites ultérieures.

Sous le terme générique de « traceurs », nous incluons les cookies HTTP, les pixels de suivi, les balises web, le local storage, les SDK mobiles d'analyse et tout autre dispositif équivalent.

9.2 Recueil de votre consentement

Conformément à l'article 82 de la Loi Informatique et Libertés, le dépôt et la lecture de cookies non strictement nécessaires sont soumis à votre consentement préalable, recueilli via une bannière au premier accès au site ou à l'application. Vous pouvez à tout moment retirer votre consentement en cliquant sur le lien « Gérer mes cookies » accessible depuis nos Produits.

9.3 Liste des cookies et traceurs utilisés

a) Site vitrine ficha.fr

Nom / Famille	Émetteur	Finalité	Catégorie	Base légale	Durée de conservation
Cookies de session WordPress (`wordpress_`, `wp-settings-`)	Ficha	Fonctionnement du site, gestion de session	Strictement nécessaires	Exemption (cookie strictement nécessaire à la fourniture du service, art. 82 LIL)	Session ou 1 an
Cookie de consentement (`cookie_consent`)	Ficha	Mémorisation de vos choix en matière de cookies	Strictement nécessaires	Exemption (cookie strictement nécessaire au fonctionnement du service de recueil du consentement, ligne directrice CNIL du 17 septembre 2020)	6 mois

b) Traceurs déposés dans les applications (Cocon, Ambassadeur Camia, Camia, Gestionnaire Cocons)

Les applications mobiles et web n'utilisent pas de cookies HTTP au sens strict, mais des identifiants techniques stockés via les SDK (Firebase, OS de l'appareil) et le local storage du navigateur. Ces traceurs sont également soumis à l'article 82 de la Loi Informatique et Libertés.

Traceur	Émetteur	Finalité	Catégorie	Base légale	Durée de conservation
Tokens d'authentification Firebase (ID tokens, refresh tokens)	Firebase / Ficha	Maintien de la session authentifiée	Strictement nécessaires	Exécution du contrat	Session d’1h ; renouvellement automatique
Firebase Cloud Messaging, token push	Firebase / Ficha	Envoi des notifications push autorisées par l'Utilisateur	Strictement nécessaires à la fonctionnalité demandée	Consentement (autorisation système des notifications)	Tant que le token est valide
Firebase Crashlytics (le cas échéant)	Firebase / Google	Diagnostic des plantages applicatifs	Diagnostic technique pseudonymisé	Intérêt légitime (sécurité et stabilité du service)	90 jours

9.4 Paramétrage de votre navigateur ou de votre appareil

Vous pouvez à tout moment configurer votre navigateur ou votre appareil pour :

accepter ou refuser les cookies ;

supprimer les cookies déjà déposés.

Les modalités précises sont disponibles sur le site de la CNIL : https://www.cnil.fr/fr/cookies-et-traceurs-comment-les-maitriser.

10. Sécurité des données

Ficha met en œuvre, conformément à l'article 32 du RGPD, des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, en s'appuyant sur l'état de l'art et les recommandations de la CNIL et de l'ANSSI.

10.1 Mesures techniques

Sans entrer dans le détail des configurations qui pourraient utilement servir à un attaquant, Ficha met notamment en œuvre :

le chiffrement des Données à caractère personnel au repos et en transit, avec une gestion sécurisée des clés ;

l'authentification multi-facteurs (MFA) et une politique de mots de passe robustes pour l'ensemble des accès aux environnements traitant des Données personnelles ;

un contrôle d'accès fondé sur le principe du moindre privilège, avec revues régulières des droits ;

le cloisonnement des environnements de production, de recette et de développement, ainsi que des données entre Clients ;

la pseudonymisation des Utilisateurs au moyen d'identifiants techniques distincts des données identifiantes ;

des mécanismes de protection contre les attaques (pare-feu applicatif, protection contre les attaques par déni de service distribué, détection automatique des vulnérabilités, audits de code) ;

des sauvegardes régulières, redondées au sein de l'Union européenne, avec tests de restauration ;

la journalisation et la supervision des accès et des opérations sensibles, avec alertes automatiques sur événements suspects ;

le durcissement des dispositifs IoT déployés sur le terrain (système d'exploitation minimal, communications chiffrées, absence d'exposition directe à Internet) ;

la sécurisation des postes de travail des collaborateurs et des locaux (contrôle d'accès, vidéosurveillance, gestion centralisée des terminaux).

10.2 Mesures organisationnelles

Approche Privacy by Design et by Default dès la conception des fonctionnalités et validation des nouveaux traitements par le DPO ;

tenue d'un registre des activités de traitement conforme à l'article 30 du RGPD ;

réalisation d'analyses d'impact relatives à la protection des données (AIPD) pour les traitements à risque élevé ;

politique de gestion des sous-traitants (sélection, contractualisation conforme à l'article 28 RGPD, suivi) ;

procédure documentée de gestion des incidents et des violations de données, avec matrice de qualification, cellule de crise et retours d'expérience ;

échelle interne de classification de l'information déterminant les règles de protection applicables ;

programme de sensibilisation et de formation continue des collaborateurs (RGPD, sécurité, hameçonnage), conforme aux recommandations de la CNIL et de l'ANSSI.

10.3 Documentation détaillée

La documentation détaillée de notre dispositif de sécurité (politique de sécurité des systèmes d'information, registre des traitements, rapports d'audit, contrats de sous-traitance, plan de continuité d'activité, etc.) est tenue à jour et peut être communiquée, dans le cadre approprié, à nos Clients, à leurs auditeurs habilités et à toute autorité de contrôle compétente.

10.4 Limites

Aucune transmission de données sur Internet ni aucun système de stockage ne peut être garanti à 100 %. Ficha déploie des moyens raisonnables et conformes à l'état de l'art pour protéger vos Données personnelles, sans pour autant pouvoir garantir l'absence absolue de tout incident.

11. Vos droits

Conformément aux articles 12 à 23 du RGPD et aux articles 48 à 56 de la Loi Informatique et Libertés, vous disposez sur vos Données personnelles des droits suivants.

11.1 Liste des droits

Droit d'accès (art. 15 RGPD) : obtenir confirmation que vos Données sont traitées et en obtenir copie.

Droit de rectification (art. 16 RGPD) : faire corriger vos Données inexactes ou les compléter.

Droit à l'effacement ou « droit à l'oubli » (art. 17 RGPD) : obtenir la suppression de vos Données dans les cas prévus par le RGPD.

Droit à la limitation du traitement (art. 18 RGPD) : obtenir le gel temporaire de l'utilisation de vos Données.

Droit à la portabilité (art. 20 RGPD) : recevoir vos Données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV), et le cas échéant les transmettre à un autre responsable de traitement.

Droit d'opposition (art. 21 RGPD) : vous opposer, pour des raisons tenant à votre situation particulière, à un traitement fondé sur l'intérêt légitime ; vous opposer à tout moment à un traitement à des fins de prospection.

Droit de retirer votre consentement (art. 7.3 RGPD) à tout moment, sans que cela ne remette en cause la licéité des traitements effectués avant le retrait.

Droit de définir des directives relatives au sort de vos Données après votre décès (art. 85 de la Loi Informatique et Libertés).

Droit d'introduire une réclamation auprès d'une autorité de contrôle (voir 11.4).

11.2 Modalités d'exercice

Vous pouvez exercer ces droits :

directement depuis nos Produits, lorsque la fonctionnalité existe (paramètres du compte : modification, suppression, export) ;

par email à l'adresse guillaume.dionisi@ficha.fr ;

par courrier postal à : Ficha – À l'attention du DPO – 12 rue Pierre Semard, 38000 Grenoble, France.

Pour vous identifier et éviter toute usurpation, nous pourrons vous demander de justifier votre identité (pièce d'identité, dont les éléments superflus peuvent être occultés).

11.3 Délais de réponse

Ficha s'engage à répondre à votre demande dans un délai d'un mois à compter de sa réception, prolongeable de deux mois supplémentaires pour les demandes complexes ou nombreuses. Vous serez informé(e) de toute prolongation dans le mois suivant la réception de votre demande, ainsi que des motifs de cette prolongation. Pour les demandes de portabilité, Ficha s'attache à répondre dans les meilleurs délais, et systématiquement avant l'expiration du délai d'un mois.

11.4 Réclamation auprès d'une autorité de contrôle

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) ou auprès de l'autorité de contrôle de l'État membre de l'Union européenne dans lequel vous résidez ou travaillez ou dans lequel la violation alléguée s'est produite (article 77 RGPD).

CNIL :

3 place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07

Téléphone : +33 1 53 73 22 22

Site : https://www.cnil.fr/fr/plaintes

La liste des autorités de contrôle européennes est disponible sur le site du Comité européen de la protection des données : https://www.edpb.europa.eu/about-edpb/about-edpb/members_fr.

11.5 Cas particulier des Produits utilisés dans le cadre d'une mission professionnelle

Si vous utilisez l'application Ambassadeur Camia, le Tableau de bord Camia ou le Gestionnaire Cocons dans le cadre de votre activité pour le compte d'un Client de Ficha (collectivité, opérateur, bailleur), votre demande d'exercice de droits est susceptible d'être transmise au Client compétent qui agit en qualité de Responsable de traitement. Ficha vous indiquera, le cas échéant, à qui adresser votre demande, et facilitera son traitement par mise à disposition des données et outils nécessaires.

12. Données concernant les mineurs

L'application Utilisateur Cocon peut être utilisée par des mineurs.

Conformément à l'article 8 du RGPD et à l'article 45 de la Loi Informatique et Libertés, l'inscription et le traitement des Données personnelles d'un mineur sont soumis aux règles suivantes :

À partir de 15 ans, le mineur peut consentir seul aux traitements de ses Données personnelles dans le cadre des services de la société de l'information.

En dessous de 15 ans, le consentement doit être donné conjointement par le mineur et par l'un des titulaires de l'autorité parentale.

Ficha déploie des moyens raisonnables pour vérifier l'âge déclaré et obtenir le consentement parental le cas échéant. Si vous êtes parent ou titulaire de l'autorité parentale et que vous estimez qu'un mineur dont vous êtes responsable a fourni des Données personnelles sans votre consentement, vous pouvez nous contacter à guillaume.dionisi@ficha.fr afin que nous procédions à la suppression du compte et des Données associées dans les meilleurs délais.

Aucune publicité ciblée n'est diffusée à destination des mineurs identifiés comme tels.

13. Décision automatisée et profilage

Ficha met en œuvre certaines opérations qualifiables de profilage au sens de l'article 4.4 du RGPD, telles que :

la reconnaissance automatique des contenus de bacs et flux de tri par les modèles d'IA embarqués (capteurs IoT, application Ambassadeur Camia) ;

la suggestion de récompenses ou de partenaires dans Cocon en fonction de votre code postal et de votre activité de tri ;

l'établissement de classements et de badges dans Cocon (gamification).

En revanche, Ficha ne met pas en œuvre de décision exclusivement automatisée produisant des effets juridiques ou affectant significativement les personnes au sens de l'article 22 du RGPD. Les traitements algorithmiques susceptibles d'avoir un effet significatif (par exemple : qualification d'un acte de tri non conforme) donnent toujours lieu à une intervention humaine dans la décision finale (validation par un ambassadeur, un agent du Client ou un membre de l'équipe Ficha).

Vous pouvez à tout moment exprimer votre point de vue, contester un résultat ou demander une intervention humaine en contactant notre DPO (voir section 17).

14. Liens vers des sites tiers

Nos Produits peuvent contenir des liens vers des sites internet ou applications édités par des tiers (commerçants partenaires, autorités, partenaires institutionnels…). Ficha n'a aucun contrôle sur ces sites tiers et n'est pas responsable de leurs pratiques en matière de protection des données. Nous vous invitons à consulter leurs propres politiques de confidentialité avant de leur communiquer toute donnée personnelle.

15. Notification des violations de données

Conformément aux articles 33 et 34 du RGPD, Ficha s'est dotée d'une procédure formalisée de gestion des violations de données.

Les incidents sont qualifiés selon une matrice à 4 niveaux (Faible / Modérée / Haute / Critique), à partir de critères d'urgence et d'impact.

Pour les incidents qualifiés de Haute ou supérieure (fuite, altération ou perte de Données personnelles), Ficha :
- notifie le Responsable de traitement compétent (le Client, lorsque Ficha agit en tant que sous-traitant) sous 48 heures ;
- notifie la CNIL sous 72 heures lorsque la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées ;
- informe directement les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés ;
- documente toutes les violations dans un registre interne.

16. Modifications de la présente Politique

Ficha peut être amenée à faire évoluer la présente Politique afin de refléter des changements légaux, réglementaires, techniques ou organisationnels.

Toute évolution sera signalée par la mise à jour de la date de « Dernière mise à jour » en tête du document. Pour les évolutions substantielles, Ficha vous en informera par un moyen approprié (notification dans l'application, email, bandeau d'information sur le site, etc.) avant leur entrée en vigueur.

Nous vous invitons à consulter régulièrement la présente Politique.

Un historique des versions est tenu en interne et peut être consulté sur demande auprès du DPO.

17. Nous contacter

Pour toute question, demande d'information ou demande d'exercice de droits relative à la présente Politique :

Délégué à la protection des données – Ficha SAS

Guillaume Dionisi

12 rue Pierre Semard – 38000 Grenoble, France

Email : guillaume.dionisi@ficha.fr

Email général : contact@ficha.fr

Téléphone : +33 6 69 21 81 34