Mise à jour septembre 2023 Dans le cadre de son activité, l’association ARPE est amenée à traiter des données à caractère personnel relative aux personnes figurant dans le traitement, objet de l’association. ARPE est soumis à la réglementation applicable en la matière, notamment à la loi n°78-17 du 6 janvier 1978 (Loi informatique et libertés) et au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit « RGPD ». ARPE est responsable de traitement conjoint avec ses membres, et définit dans la présente Politique des Données Personnelles (ci-après la « Politique ») les principes qui régissent tout traitement des données personnelles relatives aux personnes figurant dans le traitement, opéré directement ou indirectement par ARPE et ses prestataires et sous-traitants éventuels.

Finalité du traitement des données
ARPE et les fournisseurs membres de l’association sont responsables conjoints de traitement des données dont les finalités sont les suivantes :
- Prévention des impayés
- Détection de la fraude

La base légale du traitement l’intérêt légitime de ARPE.
Par ailleurs les données collectées peuvent faire l’objet d’un traitement dans le cadre de la gestion d’exercice des droits de la personne demandeuse, de gestion de demandes ou saisines de la CNIL, de maintenance de registres ou de vérification des traitements.

Données personnelles faisant l’objet d’un traitement
Seules les données strictement nécessaires sont traitées.
- Références du point de référence mesure – ou PRM – pour le registre concernant les impayés en électricité ou référence du point de comptage estimation, ou PCE, pour le registre concernant les impayés en gaz naturel ;
- Informations financières (RIB ou IBAN) ;
- Adresse(s) électronique(s) ;
- Numéros de téléphone ;
- Adresse(s) postale(s).
- Pour un particulier :
- Nom et prénom.
- Pour une entreprise
- Raison sociale ;
- Dénomination commerciale ;
- Numéro SIRET.

Destinataires des données :
Les données personnelles sont traitées par ARPE et par les fournisseurs membres de ARPE ainsi que leurs sous-traitants éventuels, dans les conditions définies par les membres. Les données peuvent être transmises aux autorités compétentes, en particulier la CNIL, à leur demande, dans le cadre de demandes d’information ou autres obligations légales.

Lieu de traitement :
Les registres de ARPE sont hébergés en France. Chaque fournisseur membre de ARPE traite les données relatives à ses clients dans les conditions qu’il a défini.

Sécurisation des données
ARPE s’assure de la confidentialité et de la sécurité de traitement des données par la mise en place d’un ensemble de mesures pour en éviter la perte, la mauvaise utilisation, l’altération et la suppression.

Durée de conservation :
ARPE applique des durées de conservation limitées et nécessaires aux finalités de traitements mis en œuvre. En cas d’inscription dans les registres ARPE pour facture(s) impayée(s), les données des personnes concernées sont conservées tant que les sommes dues aux fournisseurs n’ont pas été réglées et pour une durée maximum, à compter de la notification d’inscription, de 3 ans ou, pour un client notifié au moins 3 fois, 5 ans à compter de la dernière notification. Les données sont supprimées à compter de l’enregistrement du règlement complet des sommes dues au fournisseur.

Exercice des droits
Il est précisé que seules les demandes de droits d’accès pourront être traitées par ARPE, les autres demandes étant transmises aux opérateurs Membres pour traitement. Toute demande d’exercice de vos droits doit être accompagnée de la photocopie d’un justificatif d’identité (carte nationale d’identité délivrée par l’Etat français ou carte d’identité de l’union Européenne ou passeport, carte de résident délivrée par l’Etat français, carte de séjour délivrée par l’Etat français ou livret de circulation délivré par l’Etat français). Une réponse vous sera adressée dans un délai d’un mois à compter de la réception de votre demande. Si vos échanges avec le GIE ARPE n’ont pas été satisfaisants, vous avez la possibilité d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité de contrôle en charge du respect des obligations en matière de données à caractère personnel en France.