Bienvenue sur le site internet https://totalenergies.com/ (le « site internet »).
La Charte Données Personnelles et Cookies (ci-après "Charte") vise à vous informer des droits et libertés que vous pouvez faire valoir à l'égard de notre utilisation de vos données personnelles et décrit les mesures que nous mettons en œuvre afin de les protéger.
TotalEnergies SE est le « responsable du traitement » des données personnelles relatives à la gestion du site internet. Ces traitements sont mis en œuvre conformément au droit applicable.
1. Finalité, fondement du traitement des données collectées et durée de conservation
En utilisant le site internet, vos données personnelles sont susceptibles de faire l’objet des traitements suivants :
| Finalité | Catégories de données personnelles | Base juridique | Durée de conservation |
|---|---|---|---|
| Répondre à vos demandes d’informations (exemple : contacts presse, demande d’informations générales) | Données d'identification (Nom, prénom, e-mail, téléphone) | Le traitement de vos données se fonde sur notre intérêt légitime. | Vos données sont conservées pendant la durée nécessaire au traitement. |
| Demandes d’inscription à des alertes e-mails | Données d'identification (e-mail) | Le traitement de vos données se fonde sur notre intérêt légitime. | Vos données sont conservées pendant la durée de votre abonnement aux alertes-mail demandées. Vous avez le droit de vous désabonner à tout moment. |
| Demandes de sponsoring | Données d'identification (Nom, prénom, email, téléphone) | Les informations collectées sont nécessaires à l'exécution d’un pré contrat avec TotalEnergies SE, faute de quoi le contrat ne pourra pas être exécuté. | Vos données sont conservées pendant une période maximum de trois (3) ans à compter de votre dernier contact avec nous, ou pour la durée de notre relation contractuelle le cas échéant ; et peuvent être le cas échéant conservées en archives intermédiaires. |
| Demandes d’insertion publicitaire | Données d'identification (Nom, prénom, e-mail, téléphone) | Les informations collectées sont nécessaires à l'exécution du pré contrat avec TotalEnergies SE, faute de quoi le contrat ne pourra pas être exécuté. | Vos données sont conservées pendant une période maximum de trois (3) ans à compter de votre dernier contact avec nous ou pour la durée de notre relation contractuelle le cas échéant ; et peuvent être le cas échéant conservées en archives intermédiaires. |
| Création de votre compte candidat au sein de notre espace de recrutement | Données d'identification (Nom, prénom, e-mail, téléphone) | Les informations collectées sont nécessaires à l'exécution du pré contrat avec TotalEnergies SE, faute de quoi le contrat ne pourra pas être exécuté. | Vos données sont conservées pendant la durée de notre relation contractuelle ; et peuvent être le cas échéant conservées en archives intermédiaires pour la durée de prescription applicable. |
| Répondre à vos demandes d’informations concernant votre statut d’actionnaire ou potentiel actionnaire individuel, ou d’investisseurs de Total | Données d'identification (Nom, prénom, e-mail, téléphone) | Les informations collectées sont nécessaires à l'exécution du pré contrat avec TotalEnergies SE, faute de quoi le contrat ne pourra pas être exécuté. | Vos données sont conservées pendant la durée de notre relation contractuelle ; et peuvent être le cas échéant conservées en archives intermédiaires pour la durée de prescription applicable. |
| Envoi de newsletters | Données d'identification (email) | Le traitement de vos données se fonde sur notre intérêt légitime. | Vos données sont conservées pendant la durée de votre abonnement à notre newsletter. Vous avez le droit de vous désabonner à tout moment. |
| Statistiques | Données de connexion (IPs, Logs), Navigation | Vous consentez à ce que nous traitions vos données. Ces informations sont nécessaires pour permettre de traiter votre demande, à défaut celle-ci ne pourra être traitée. Vous pouvez retirer votre consentement à tout moment sans que cela ne remette en cause le(s) traitement(s) effectué(s) antérieurement, en nous contactant via le formulaire de contact. | Vos données sont conservées pendant une durée maximale de 13 mois. Pour plus d’informations, vous référer à l’article 5. Gestion des cookies. |
2. Destinataires des données
Afin d'effectuer les traitements prévus par la présente Charte, vos données personnelles sont susceptibles d’être communiquées à certains départements du responsable du traitement ou des sociétés du groupe TotalEnergies SE ainsi qu’à certains prestataires : Prestataires marketing, prestataire éditeur de logiciel.
3. Transfert de données
Tout transfert de données vers un pays tiers hors de l’Espace Economique Européen est réalisé en conformité avec la règlementation applicable et de manière à assurer une protection adéquate des données.
Au titre des services fournis sur le site et afin de répondre à vos demandes, vos données telles que vos noms, prénoms et adresses email, peuvent être transférées vers des entités de la Compagnie TotalEnergies situées en dehors de l’Union européenne.
Afin d’assurer une protection adéquate des données personnelles originaires de l’Espace Economique Européen pouvant être transférées à des entités de la Compagnie TotalEnergies établies hors de l’Espace Economique Européen, des « Binding Corporate Rules » (BCR - Règles internes d'entreprise) ont été adoptées.
Pour les transferts de données personnelles qui ne sont pas couverts par les BCR et réalisés vers des pays hors de l’Espace Economique Européen, d’autres mesures sont mises en place pour assurer une protection adéquate des données.
Si vous souhaitez obtenir plus d’informations sur nos BCR reportez-vous à l'onglet suivant. Pour toute information sur les autres mesures mises en place pour assurer une protection adéquate veuillez écrire à l’adresse de contact mentionnée ci-après.
4. Sécurité et confidentialité de vos données
Le responsable du traitement met en œuvre des mesures appropriées pour préserver la sécurité et la confidentialité de vos données personnelles et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
5. Gestion des cookies et autres traceurs
Un cookie est un fichier qui permet d’enregistrer des informations relatives à votre navigation et de la faciliter sur le site internet.
Les cookies sont des fichiers texte qui sont déposés sur votre terminal. Ils permettent d’accéder à différentes informations vous concernant. Certains d’entre eux appartiennent à l’éditeur du site / de l’application (First party), d’autres à des opérateurs tiers (Third party).
Le tableau ci-dessous donne une vue détaillée sur chaque cookie/traceur.
Nous activons les cookies et autres traceurs une fois que vous avez donné votre consentement à l’exception des cookies et traceurs de type technique qui sont indispensables à la fourniture du service que vous demandez sur le site internet.
| Type de cookie | Nom du cookie | Finalités du cookie | Fournisseur | Durée de conservation |
|---|---|---|---|---|
| Statistiques | atidvisitor, atuserid, atauthority | Analyse du trafic sur le site. | AT Internet | Jusqu’à 6 mois |
| Publicitaires | IDE, DSID doubleclick.net | Analyse du trafic sur le site. | doubleclick | Jusqu’à 6 mois |
| Techniques et fonctionnels | __cfduid | Optimisation des performances du site | Cloudflare | 10 jours |
| Techniques et fonctionnels | preferred-language | Préférence de langue de l’utilisateur. | Drupal | 1 an |
| Techniques et fonctionnels | utag_main | Utilisé par le gestionnaire de balises Tealium. | Tealium | 1 an |
| Techniques et fonctionnels | CONSENTMGR | Choix de consentement RGPD, utilisé par Drupal | Tealium | 180 jours |
| Techniques et fonctionnels | user-country-slb | Protection de l’accès à la page SLB. | Drupal | Session |
| Publicitaires | utag_main | Utilisé par Tealium | Tealium | 6 mois |
| Réseaux sociaux | _fbp, fr, | Permet l’affichage de produits publicitaires | 90 jours | |
| Réseaux sociaux | lang, AnalyticsSyncHistory, UserMatchHistory, bcookie, lidc, li_gc, bscookie | Personnalisation de l’expérience utilisateur sur la plateforme. | Session ou jusqu’à 6 mois. | |
| Réseaux sociaux | personalization_id | Permet au visiteur de partager du contenu depuis le site Web sur son profil Twitter. | 6 mois |
Comment retirer votre consentement ?
Lors de votre première connexion sur le site internet, vous donnez, ou non, votre consentement à l’utilisation de cookies et/ou procédez à un paramétrage. Si par la suite, vous souhaitez revenir sur vos choix, vous pouvez gérer vos cookies en vous rendant dans la rubrique en bas de page de notre site ou application ou via un bouton de rappel nommé “cookies”.
Pour supprimer les cookies déjà installés, merci de vous référer au mode opératoire fourni par votre système d’exploitation (Windows, OS X, etc.).
6. Vos droits / Contact
Conformément à la réglementation en vigueur, vous disposez d’un droit d’accès, de rectification et de suppression de vos données ainsi que de directives post-mortem. Vous pouvez également demander la limitation du traitement. Vous disposez d’un droit d’opposition au traitement de vos données lorsque celui-ci est fondé sur l’intérêt légitime. Enfin, vous disposez d’un droit à la portabilité de vos données (lorsque le traitement est fondé sur l’exécution d’un contrat ou le consentement) et pouvez demander le retrait de votre consentement.
Pour exercer vos droits et nous interroger sur le traitement de vos données personnelles, vous pouvez vous adresser :
- Par courrier à l'adresse suivante :
TotalEnergies SE
Direction de la communication
Tour Coupole 2, place Jean Millier - Arche Nord - Coupole/Regnault
92078 Paris La Défense Cedex France
- Par mail à l’adresse : [email protected].
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à l’autorité de contrôle compétente.
1. Introduction
Le groupe TotalEnergies (ou « TotalEnergies ») promeut une culture et des pratiques visant à protéger les données personnelles1, conformément à la réglementation applicable. A cette fin, TotalEnergies a mis en place des Binding Corporate Rules (« BCR »).
Ce document résume les principes de protection des données personnelles qui s’appliquent en vertu de nos BCR, et les droits qu’elles confèrent.
2. Objectif
Nos BCR sont un ensemble de règles internes contraignantes qui s’applique à toutes les sociétés du Groupe qui les ont adoptées. Elles ont été approuvées par les autorités européennes de protection des données.
Elles permettent aux sociétés du Groupe de transférer des données personnelles originaires de l’Espace économique européen (« EEE »)2 vers des sociétés du Groupe situées en dehors de l’EEE, conformément à la réglementation applicable.
3. Champ d’application
Nos BCR s’appliquent à toutes les données personnelles originaires de l’EEE qui sont traitées par les sociétés du Groupe, notamment les données relatives aux collaborateurs, aux candidats à l’embauche, aux clients, aux prospects, aux fournisseurs, aux sous-traitants et au personnel des sociétés tierces agissant pour le compte des sociétés du Groupe ainsi qu’aux actionnaires (ci-après les « personnes concernées »).
4. Principes de protection
Les principes énoncés dans nos BCR doivent être respectés.
Licéité
Tous les traitements3 mis en place reposent sur une base juridique, prévue par le droit applicable.
Les données personnelles ne peuvent être traitées que pour des finalités légitimes, déterminées et légales. Les données ne doivent pas ensuite être traitées d’une manière incompatible avec ces finalités.
Pertinence
Les données personnelles doivent être exactes et proportionnées, en qualité et quantité, au regard de la finalité du traitement.
Transparence
Les données personnelles doivent être obtenues loyalement et licitement. Les personnes concernées doivent être informées des caractéristiques du traitement et de leurs droits, sauf si cela s’avère impossible ou suppose des efforts disproportionnés.
Sécurité
Les données personnelles doivent faire l’objet de mesures de sécurité adaptées pour limiter les risques d’accès non autorisé, de destruction, d’altération ou de perte.
Pour se faire, un ensemble de normes internes permettant d’assurer de la sécurité et la confidentialité des données personnelles s’applique :
- La Charte d’utilisation des ressources informatiques et de communication, qui impose d’agir conformément à la réglementation et aux règles de confidentialité ;
- La politique de Sécurité des Systèmes d’information qui définit le mode de gouvernance de la sécurité des systèmes d’information ;
- Le référentiel Sécurité des Systèmes d’information du groupe TotalEnergies qui énumère au travers de 19 thématiques détaillées l’ensemble des exigences du Groupe en termes de sécurité des systèmes d’information ;
- La directive Sûreté du patrimoine informationnel, qui expose les exigences relatives à la protection de la confidentialité, de l’intégrité, de la disponibilité et du contrôle des informations détenues et échangées au sein du Groupe.
Lorsqu’elle fait appel à un tiers pour traiter des données personnelles, la société du Groupe s’assure que celui-ci offre des garanties suffisantes en termes de sécurité et de confidentialité des données.
Conservation
Les données personnelles ne peuvent être conservées que pour une durée raisonnable et non excessive eu égard à la finalité du traitement.
A l’expiration de la durée de conservation, les données sont détruites, anonymisées ou archivées.
Transferts4 internationaux de données personnelles
TotalEnergies ne transfère pas de données personnelles originaires d’un pays de l’EEE directement vers une société du Groupe située dans un pays n’offrant pas un niveau de protection adéquat, sauf lorsque celle-ci a adopté formellement les BCR ou utilise un des autres instruments juridiques reconnus par la Commission Européenne.
TotalEnergies ne transfère pas de données personnelles originaires de l’EEE directement vers une société hors du Groupe (responsable de traitement ou sous-traitant), située dans un pays n’offrant pas un niveau de protection adéquat, sans une base juridique prévue par le droit applicable et sans un dispositif instaurant des garanties suffisantes comme les clauses contractuelles types.
De même, lorsqu’un importateur de données transfère ultérieurement des données personnelles originaires de l’EEE vers une société non membre du Groupe (responsable de traitement ou sous-traitant), située dans un pays n’offrant pas un niveau de protection des données adéquat, il doit signer avec cette société tierce un contrat par lequel celle-ci s’engage à respecter les principes des BCR.
5. Droits des personnes concernées
Nos BCR confèrent notamment aux personnes concernées dont les données personnelles sont traitées les droits suivants :
- Droit d’accès aux données
- Droit de rectification, de suppression ou de verrouillage des données
- Droit d’opposition au traitement des données
- Droit à la limitation du traitement des données
[Une liste détaillée des droits est jointe dans l’ANNEXE 1 ci-après].
Toute personne peut exercer ses droits en envoyant une demande au contact indiqué dans les mentions d’information relatives au traitement de ses données personnelles. TotalEnergies s’engage à répondre dans le délai légal.
En outre, si une personne estime qu’une société du Groupe n’a pas respecté les BCR, elle peut introduire une plainte auprès du Groupe en envoyant :
- Un courrier électronique à : [email protected]
ou
- Un courrier à l’adresse suivante : TotalEnergies – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.
La personne est informée du statut de sa plainte et, le cas échéant, des mesures envisagées par TotalEnergies pour y répondre.
La procédure interne de gestion des plaintes est décrite en ANNEXE 2 ci-après.
Le fait de déposer une plainte auprès de TotalEnergies n’affecte en rien le droit de porter plainte auprès des autorités compétentes de protection de données personnelles de l’EEE ou d’engager une action devant les tribunaux du pays de l’EEE où la société du Groupe responsable du transfert des données personnelles est établie.
6. Gouvernance
Un réseau interne « Protection des données personnelles » est chargé du suivi et du contrôle de la mise en œuvre des BCR au sein du Groupe.
Il est constitué de :
- Un Coordinateur Corporate Protection des Données Personnelles, qui organise et suit les actions de mise en conformité au niveau du Groupe ;
- Des Coordinateurs Branches Protection des Données Personnelles, qui pilotent et coordonnent les actions de mise en conformité au niveau de leur Branche ;
- Des Relais Protection des Données Personnelles, qui pilotent et coordonnent les actions de mise en conformité au niveau de leur Entité ou de leur Société.
7. Contrôle interne et audit
Afin de veiller à la bonne application de nos BCR, des dispositifs de contrôles internes et d’audits sont mis en œuvre.
Un plan de contrôle interne annuel est défini par le réseau Protection des données personnelles pour évaluer la conformité des traitements du Groupe au regard de nos BCR . Un reporting est également organisé pour rendre régulièrement compte plans d’actions consécutifs aux évaluations.
Par ailleurs, la Direction de l’Audit Interne Groupe intègre également le contrôle du dispositif de protection des données personnelles dans son plan d’audit périodique.
8. Mise à jour des BCR de TotalEnergies
En cas de besoin, nos BCR pourraient être complétées ou mises à jour.
9. Pour plus d’informations
Une copie de la version complète de nos BCR ainsi qu’une liste des sociétés du Groupe les ayant adoptées peuvent être obtenues par l’envoi d’un courrier électronique à l’adresse suivante : [email protected]
1Une donnée personnelle est toute information permettant d’identifier, directement ou indirectement, une personne physique.
2EEE : Etats Membres de l’Union européenne ainsi que l’Islande, le Liechtenstein et la Norvège.
3Un traitement correspond à toute opération effectuée ou non à l’aide de procédés automatisés et appliquée à des données personnelles (ex : collecte, enregistrement, conservation, destruction, etc.).
4Le transfert vise tous les échanges, virtuels ou physiques, d’un pays à un autre, de données personnelles de l’EEE.
ANNEXE 1
DROITS DES TIERS BENEFICIAIRES
Nos BCR accordent le droit aux Personnes Concernées de les faire appliquer en tant que tiers bénéficiaires.
Plus particulièrement, elles peuvent faire appliquer les principes suivants selon les modalités et conditions formulées dans nos BCR :
- Tout traitement mis en œuvre au sein du Groupe repose sur une base légale prévue par le Droit applicable ;
- TotalEnergies doit collecter et traiter les Données Personnelles pour des finalités légitimes, déterminées et explicites, et ne doit pas traiter ultérieurement les Données Personnelles de manière incompatible avec la finalité pour laquelle elles ont été collectées ;
- TotalEnergies doit traiter des Données Personnelles pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et celles-ci doivent être exactes et, si nécessaire, mises à jour ;
- À tout moment, les Personnes Concernées peuvent accéder facilement aux informations relatives aux droits que leur confèrent les BCR ;
- Les Personnes Concernées dont les Données Personnelles sont originaires de l’EEE ont un droit d’accès, de rectification et d’opposition au traitement de leurs données conformément au Droit applicable ;
- Les Personnes Concernées dont les Données Personnelles sont originaires de l’EEE ne doivent pas être soumises à une décision produisant des effets juridiques à leur égard ou les affectant de manière significative, prise sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de leur personnalité, sauf si une telle décision :
- Est prise dans le cadre de la conclusion ou de l’exécution d’un contrat, à condition que la demande de conclusion ou d’exécution du contrat, introduite par la Personne Concernée, ait été satisfaite ou que des mesures appropriées, telles que la possibilité de faire valoir son point de vue, garantissent la sauvegarde de son intérêt légitime ; ou
- Est autorisée par le Droit applicable, qui précise également les mesures garantissant la sauvegarde de l’intérêt légitime de la Personne Concernée ;
- TotalEnergies doit mettre en œuvre les mesures appropriées pour assurer la sécurité et la confidentialité des données, compte tenu de l’état de l’art et des coûts liés à leur mise en œuvre ;
- TotalEnergies doit conclure un accord écrit de sous-traitance avec tout prestataire amené à traiter des Données Personnelles, prévoyant que ledit prestataire doit agir sur les instructions de TotalEnergies et doit mettre en œuvre des mesures appropriées pour assurer la sécurité et la confidentialité des données ;
- TotalEnergies ne transfère pas de données depuis un Etat Membre de l’EEE ou originaires de l’EEE vers une société n’appartenant pas au Groupe située dans un Pays Tiers n’offrant pas un niveau de protection adéquat (que ce soit un Responsable de traitement externe ou un Sous-traitant) sans une base légale prévue par le Droit applicable et sans un dispositif instaurant des garanties suffisantes ;
- Si une Société du Groupe considère que la législation qui lui est applicable risque de l’empêcher de remplir ses obligations en application des BCR de TotalEnergies, et d’avoir un impact négatif sur les garanties offertes par ces BCR, cette Société doit en informer immédiatement l’exportateur de données, à moins que cela ne soit interdit par une autorité chargée d’assurer le respect de la loi, notamment en raison d’une interdiction prévue par le droit pénal pour préserver le secret de l’instruction ;
- Toute Personne Concernée peut introduire une plainte auprès de TotalEnergies grâce au processus interne de gestion des plaintes conformément aux conditions prévues au chapitre « Gestion des Plaintes » ;
- Les Sociétés du Groupe ayant adopté les BCR doivent coopérer avec les Autorités de contrôle compétentes, suivre leurs recommandations concernant les transferts internationaux de données en cas de plainte ou de demande particulière émanant de ces autorités et accepter de se soumettre à tout audit effectué par l’Autorité de contrôle de leur pays d’établissement ;
- Toute Personne Concernée peut introduire une plainte auprès des Autorités nationales de contrôle ou un recours devant la juridiction de l’Etat Membre de l’EEE où l’exportateur de données est établi afin de faire appliquer les principes susmentionnés, et, le cas échéant, d’obtenir réparation du préjudice subi résultant d’une violation des BCR de TotalEnergies. Si, à l’occasion d’un transfert de Données Personnelles en dehors de l’EEE, l’importateur de données ne respecte pas les BCR de TotalEnergies, il appartiendra à l’exportateur de données de contester la plainte, d’établir que l’importateur de données n’a pas contrevenu aux BCR, et d’indemniser la Personne Concernée pour le préjudice subi du fait de cette violation.
ANNEXE 2
PROCEDURE INTERNE DE GESTION DES PLAINTES
Si une Personne Concernée considère qu’une Société du Groupe n’a pas respecté les BCR de TotalEnergies, elle peut introduire une plainte selon la procédure énoncée dans les mentions d’informations propres au traitement ou le contrat applicable ou selon la procédure décrite ci-après.
1. Comment introduire une plainte
La Personne Concernée peut introduire une plainte en envoyant :
- Un courrier électronique à : [email protected]
ou
- Un courrier à l’adresse suivante : TotalEnergies – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.
La plainte doit fournir une description aussi détaillée que possible du problème soulevé précisant notamment :
- Le pays et la Société du Groupe concernés, la violation des BCR selon la Personne Concernée, la réparation demandée ;
- Les noms, prénoms et coordonnées de la Personne Concernée ainsi qu’une copie de sa pièce d’identité ou de tout autre document permettant son identification ;
- Toute correspondance antérieure relative au problème invoqué.
2. Réponse de TotalEnergies
Dans un délai de trois mois à compter de la réception de la plainte, la Personne Concernée est informée par écrit de la recevabilité de sa plainte et, si elle est jugée recevable, des mesures correctives prises ou envisagées par TotalEnergies pour y répondre. Le Coordinateur Branche Protection des Données Personnelles (ou « Branch Data Privacy Lead » – « BDPL ») compétent veille à ce que, si nécessaire, les mesures correctives appropriées soient mises en œuvre pour la conformité aux BCR de TotalEnergies.
Le BDPL compétent transmet une copie de la plainte et de toute réponse écrite au Coordinateur Corporate Protection des Données Personnelles (ou « Corporate Data Privacy Lead » – « CDPL »).
3. Mécanisme de recours
Si la Personne Concernée n’est pas satisfaite de la réponse du BDPL compétent (ex : la plainte a été rejetée), elle peut contacter le CDPL en envoyant un courrier électronique ou un courrier à l’adresse indiquée ci-dessus. Le CDPL examinera la plainte et se prononcera dans un délai de trois mois suivant la réception de la demande. Dans ce délai, le CDPL indique à la Personne Concernée s’il confirme la réponse initiale et, dans la négative, fournit une nouvelle réponse.
La possibilité pour les Personnes Concernées d’introduire une plainte auprès de TotalEnergies n’affecte en rien leur droit d’introduire une plainte auprès de l’Autorité nationale de contrôle compétente ou un recours devant la juridiction de l’Etat Membre de l’EEE où l’exportateur de données est établi.