Avis de Confidentialité
Avis sur le traitement des données personnelles
de Plank Italy S.p.a. società benefit
Plateforme numérique et applications mobiles
Dernière mise à jour : 27 mars 2026
Le présent avis décrit les modalités selon lesquelles Plank Italy S.p.a. società benefit (« Plank », « la Société » ou « nous ») collecte, utilise et protège les données personnelles traitées dans le cadre de la fourniture de la plateforme numérique Plank, des applications mobiles et des services technologiques associés (conjointement, les « Services »).
Plank développe et gère une plateforme logicielle destinée principalement aux clients professionnels, tels que les opérateurs énergétiques et d'autres organisations qui utilisent la plateforme pour gérer leurs propres services et les relations avec leurs utilisateurs ou clients. L'utilisation de la plateforme peut se faire via des interfaces web ou via des applications mobiles distribuées sur les stores numériques.
Le présent avis est publié sur la plateforme et présenté aux utilisateurs lors du premier accès ou de l'inscription. Il est accessible à tout moment depuis la section « Confidentialité – Documents Légaux » du portail et des applications mobiles.
Le présent avis vise à fournir aux utilisateurs des informations claires et transparentes sur le traitement des données personnelles effectué par Plank en qualité de responsable autonome du traitement, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la réglementation applicable en matière de protection des données personnelles.
1. Responsable du traitement
Le responsable du traitement est Plank Italy S.p.a. società benefit, dont le siège social est situé Sestiere Santa Croce 466/B, 30135 Venise (Italie), C.F. et P.IVA 04545400279.
Pour toute demande ou information relative au traitement des données personnelles, la Société peut être contactée aux coordonnées suivantes :
- Email : gdpr@plank.global
- Courrier : Plank Italy S.p.a. – Délégué à la Protection des Données – Sestiere Santa Croce 466/B, 30135 Venise (VE)
2. Délégué à la Protection des Données (DPO)
Plank Italy S.p.a. a désigné un Délégué à la Protection des Données (Data Protection Officer – DPO) conformément à l'art. 37 du RGPD, compte tenu de la nature, de l'ampleur et des finalités des traitements effectués en qualité de sous-traitant pour le compte de multiples clients professionnels à grande échelle.
Le DPO peut être contacté aux coordonnées suivantes :
- Email : dpo@plank.global (msavoldi@plank.global)
- Courrier : Plank Italy S.p.a. – Data Protection Officer – Sestiere Santa Croce 466/B, 30135 Venise (VE)
Le DPO agit de manière indépendante et peut être contacté directement par les personnes concernées pour toute question relative au traitement de leurs données personnelles et à l'exercice de leurs droits.
3. Rôle de Plank dans le cadre des Services
Le présent avis régit exclusivement les traitements effectués par Plank en qualité de responsable autonome du traitement, c'est-à-dire les traitements que Plank effectue pour ses propres finalités dans le cadre de la gestion technique et de la sécurité de la plateforme. Il s'adresse aux utilisateurs professionnels qui accèdent à la plateforme pour le compte des clients professionnels de Plank.
Traitements en qualité de Responsable Autonome. Plank agit en qualité de responsable autonome pour les activités strictement liées à la gestion technique et à la sécurité de la plateforme, telles que l'authentification des utilisateurs, la gestion des sessions, la surveillance technique de l'infrastructure, la gestion des journaux de sécurité, la prévention des accès non autorisés ou des abus et la maintenance technique des services.
Traitements en qualité de Sous-traitant. Séparément de ce qui précède, Plank agit en qualité de sous-traitant au sens de l'art. 28 RGPD lorsqu'il traite des données personnelles pour le compte de ses clients professionnels, lesquels agissent en qualité de responsables du traitement pour les données relatives à leurs propres utilisateurs ou clients finaux. Pour ces traitements, le client professionnel est le sujet responsable du respect des obligations d'information envers ses utilisateurs finaux.
Les utilisateurs qui interagissent avec les services fournis par un client Plank via la plateforme sont donc invités à consulter également l'avis de confidentialité du client lui-même, qui régit le traitement des données personnelles effectué dans le cadre des services qu'il fournit.
4. Types de données personnelles traitées
Dans le cadre de la fourniture des Services, Plank peut traiter, en qualité de responsable autonome, les catégories suivantes de données personnelles relatives aux utilisateurs professionnels qui accèdent à la plateforme pour le compte des clients professionnels :
- Données d'identification et d'authentification : identifiants de compte, identifiants de connexion et données de session nécessaires pour permettre l'accès sécurisé à la plateforme.
- Données de profil professionnel : nom, prénom, adresse e-mail professionnelle, organisation d'appartenance, rôle ou fonction.
- Données opérationnelles et de service : informations relatives à la gestion des demandes d'assistance, communications opérationnelles, documents ou pièces jointes téléchargés par les utilisateurs ou autres contenus nécessaires au fonctionnement des fonctionnalités de la plateforme.
- Données techniques et de diagnostic : adresse IP, type d'appareil, système d'exploitation, version de l'application, identifiants de session, journaux techniques et données de diagnostic nécessaires à la surveillance et au bon fonctionnement des systèmes.
- Données relatives à l'utilisation de l'application mobile : en cas d'utilisation des applications mobiles, certaines fonctionnalités peuvent nécessiter l'accès à l'appareil photo, à la bibliothèque de photos ou aux fichiers locaux, dans le seul but de permettre l'utilisation des fonctionnalités correspondantes.
Données biométriques
Lorsque l'application permet l'utilisation de systèmes biométriques de l'appareil (par ex. reconnaissance faciale ou empreinte digitale) pour faciliter l'accès à la session utilisateur, ces mécanismes sont gérés exclusivement par le système d'exploitation de l'appareil. Plank ne stocke, ne collecte et ne traite pas de modèles biométriques.
Les données biométriques constituent des catégories particulières de données au sens de l'art. 9 RGPD. Étant donné que leur traitement s'effectue entièrement sur l'appareil de l'utilisateur via les API du système d'exploitation, et que Plank n'a pas accès à ces données, la base juridique applicable est le consentement explicite de l'utilisateur exprimé via les paramètres de son appareil (art. 9(2)(a) RGPD).
Données relatives aux clients finaux des clients professionnels
Dans le cadre de l'utilisation de la plateforme par les clients professionnels, des données personnelles relatives aux clients finaux de ces clients peuvent également être traitées. Dans ces cas, le client professionnel agit en qualité de responsable du traitement au sens de l'art. 4(7) RGPD, tandis que Plank agit en qualité de sous-traitant au sens de l'art. 28 RGPD, limité à la fourniture de la plateforme et des services technologiques associés.
5. Finalités et bases juridiques du traitement
Les données personnelles dont Plank est responsable autonome du traitement sont traitées pour les finalités suivantes et sur les bases juridiques suivantes :
5.1 Authentification et accès à la plateforme
Finalité : permettre l'authentification des utilisateurs, la gestion des sessions d'accès et l'utilisation des fonctionnalités de la plateforme.
Base juridique : exécution du contrat de fourniture des Services conclu entre Plank et le client professionnel, dans le cadre duquel les utilisateurs professionnels sont habilités à accéder à la plateforme (art. 6(1)(b) RGPD).
Fourniture des données : obligatoire pour l'accès à la plateforme. En l'absence de ces données, il n'est pas possible d'utiliser les Services.
5.2 Gestion technique, sécurité et prévention des abus
Finalité : gestion technique de la plateforme, maintenance, surveillance des systèmes, détection d'anomalies ou de vulnérabilités, prévention d'incidents informatiques, prévention d'accès non autorisés ou d'abus, défense des droits de la Société en cas d'utilisations abusives ou non conformes, audits de sécurité.
Base juridique : intérêt légitime de Plank au sens de l'art. 6(1)(f) RGPD, consistant à garantir la sécurité, l'intégrité et la fiabilité de ses services numériques, à protéger les données de ses clients et utilisateurs contre les accès non autorisés, la fraude ou les abus, et à assurer la continuité opérationnelle de la plateforme. Plank a effectué une mise en balance entre ses intérêts légitimes et les droits et libertés fondamentaux des personnes concernées, estimant que ces intérêts ne sont pas préjudiciables de manière prépondérante pour les personnes concernées, dans la mesure où les données traitées à ces fins sont des données techniques de système et non des données sensibles ou de contenu.
Fourniture des données : le traitement est nécessaire au fonctionnement technique de la plateforme et n'est pas soumis au choix de l'utilisateur. L'utilisateur a néanmoins le droit de s'opposer conformément à l'art. 21 RGPD (cf. Section 10).
5.3 Respect des obligations légales
Finalité : se conformer aux obligations légales ou répondre aux demandes des autorités compétentes, lorsque ces obligations découlent de la réglementation applicable.
Base juridique : respect d'une obligation légale à laquelle le responsable du traitement est soumis (art. 6(1)(c) RGPD).
Fourniture des données : obligatoire en vertu de la loi. Le défaut de fourniture peut entraîner l'impossibilité pour Plank de respecter ses obligations réglementaires.
5.4 Analyses statistiques agrégées
Finalité : sous forme agrégée et non identifiable, certaines informations relatives à l'utilisation de la plateforme peuvent être utilisées pour des analyses statistiques et pour améliorer les performances, la sécurité et la qualité des Services offerts.
Base juridique : intérêt légitime de Plank à améliorer la qualité et les performances de ses services (art. 6(1)(f) RGPD). Étant donné que les données sont traitées sous forme exclusivement agrégée et anonyme, l'impact sur les droits et libertés des personnes concernées est négligeable.
Plank n'utilise pas les données collectées via la plateforme à des fins de publicité comportementale ou de profilage commercial.
6. Processus décisionnels automatisés et profilage
Plank n'effectue pas de processus décisionnels automatisés, y compris le profilage, produisant des effets juridiques ou affectant de manière significative similaire les personnes concernées au sens de l'art. 22 RGPD.
Les systèmes de surveillance automatisée de la plateforme (par ex. détection d'anomalies d'accès) sont utilisés exclusivement à des fins de sécurité technique et ne produisent pas de décisions individuelles automatisées ayant des effets sur les personnes concernées. Toute décision susceptible d'affecter les utilisateurs est prise avec une intervention humaine.
Si des processus décisionnels automatisés pertinents au sens de l'art. 22 RGPD sont introduits à l'avenir, le présent avis sera mis à jour en conséquence et les personnes concernées recevront les informations complémentaires prévues par la réglementation applicable.
7. Communication des données personnelles
Dans le cadre des finalités décrites ci-dessus, les données personnelles peuvent être rendues accessibles ou communiquées aux destinataires suivants :
- Personnel autorisé de Plank, qui agit sur la base d'instructions spécifiques et dans le respect des obligations de confidentialité.
- Prestataires de services techniques (sous-traitants au sens de l'art. 28 RGPD), tels que fournisseurs d'infrastructures cloud, services d'hébergement, outils de surveillance et de journalisation, services d'assistance technique. Ces entités agissent sur la base d'accords contractuels spécifiques régissant les instructions de traitement, les mesures de sécurité applicables et les modalités de gestion des données personnelles.
- Clients professionnels de Plank, qui peuvent accéder aux données personnelles des utilisateurs dans le cadre de leur relation contractuelle avec les utilisateurs eux-mêmes.
- Entités publiques ou autorités compétentes, lorsque la loi l'exige ou sur injonction des autorités.
Plank ne vend ni ne cède de données personnelles à des tiers à des fins commerciales.
8. Transferts internationaux de données
Certains prestataires de services techniques utilisés pour la fourniture de la plateforme ont leur siège ou traitent des données en dehors de l'Espace économique européen (EEE), en particulier aux États-Unis d'Amérique. Les transferts de données personnelles vers des pays tiers sont effectués dans le respect des garanties prévues par la réglementation applicable, en particulier au moyen de :
- Clauses Contractuelles Types (CCT) approuvées par la Commission européenne par la Décision d'exécution (UE) 2021/914 du 4 juin 2021 ;
- éventuelles décisions d'adéquation adoptées par la Commission européenne pour des pays tiers spécifiques.
Sur demande, Plank peut fournir aux personnes concernées une copie des garanties adoptées pour les transferts internationaux. Les demandes peuvent être envoyées à gdpr@plank.global.
9. Conservation des données
Les données personnelles sont conservées pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées et au respect des obligations contractuelles et réglementaires applicables. Les durées spécifiques de conservation pour chaque catégorie de données sont les suivantes :
| Catégorie de données | Durée | Critère |
|---|---|---|
| Données de compte et de profil professionnel | Durée de la relation + 12 mois | Nécessaire pour la gestion du contrat et la résolution d'éventuels litiges. |
| Journaux techniques d'accès et d'authentification | 12 mois | Proportionné aux besoins de sécurité informatique et de détection d'anomalies. |
| Journaux de sécurité et piste d'audit | 24 mois | Nécessaire pour les enquêtes sur les incidents de sécurité et les audits de conformité. |
| Données opérationnelles et documents téléchargés | Durée du contrat avec le client professionnel + 30 jours | Nécessaire pour la fourniture du service ; supprimées à la fin de la relation. |
À l'issue de la période de conservation, les données personnelles sont supprimées ou anonymisées de manière irréversible.
10. Sécurité des données
Plank adopte des mesures techniques et organisationnelles appropriées pour garantir la protection des données personnelles traitées via la plateforme. Ces mesures comprennent, entre autres, des systèmes de contrôle d'accès, la protection des communications, la surveillance des systèmes, la gestion des autorisations basée sur les rôles et des procédures de sauvegarde et de continuité opérationnelle.
Bien qu'adoptant des mesures techniques et organisationnelles adaptées à la nature des données traitées et aux risques associés, Plank ne peut garantir qu'aucun système informatique ou transmission de données via Internet soit totalement exempt de risques. La Société met donc en œuvre des procédures de surveillance et de mise à jour continues de ses mesures de sécurité afin de réduire les risques d'accès non autorisés, de perte ou de divulgation des données.
11. Droits des personnes concernées
Les personnes concernées peuvent exercer les droits suivants prévus par la réglementation en matière de protection des données personnelles :
- Droit d'accès (art. 15 RGPD) : obtenir la confirmation que des données personnelles les concernant sont ou non traitées et, le cas échéant, accéder aux données et aux informations relatives au traitement.
- Droit de rectification (art. 16 RGPD) : obtenir la rectification des données personnelles inexactes ou le complément de celles qui sont incomplètes.
- Droit à l'effacement (art. 17 RGPD) : obtenir l'effacement des données personnelles dans les cas prévus par la loi (« droit à l'oubli »).
- Droit à la limitation du traitement (art. 18 RGPD) : obtenir la limitation du traitement dans les cas prévus par la loi.
- Droit à la portabilité des données (art. 20 RGPD) : recevoir les données personnelles dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable du traitement, lorsque le traitement est fondé sur le contrat ou le consentement et est effectué à l'aide de procédés automatisés.
- Droit d'opposition (art. 21 RGPD) : s'opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement de ses données personnelles fondé sur l'intérêt légitime du responsable (art. 6(1)(f) RGPD). En particulier, les personnes concernées peuvent s'opposer aux traitements décrits aux Sections 5.2 et 5.4. Le responsable se réserve le droit de ne pas donner suite à l'opposition lorsqu'il existe des motifs légitimes et impérieux qui prévalent sur les intérêts, droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice.
Retrait du consentement
Lorsque le traitement est fondé sur le consentement de la personne concernée (en particulier pour l'utilisation de systèmes biométriques de l'appareil via les paramètres de celui-ci), la personne concernée a le droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement avant son retrait. Le retrait du consentement relatif aux systèmes biométriques peut être effectué directement depuis les paramètres de l'appareil.
Pour retirer tout consentement donné dans le cadre de l'utilisation de la plateforme, vous pouvez contacter Plank à l'adresse gdpr@plank.global.
Modalités d'exercice des droits et délais de réponse
Les demandes d'exercice des droits peuvent être envoyées à Plank à l'adresse gdpr@plank.global ou par courrier à Plank Italy S.p.a., Sestiere Santa Croce 466/B, 30135 Venise (VE).
Plank répond aux demandes dans un délai d'un mois à compter de leur réception. En cas de demandes particulièrement complexes ou nombreuses, ce délai peut être prolongé de deux mois supplémentaires, sous réserve d'informer la personne concernée dans le premier mois en indiquant les raisons de la prolongation (art. 12(3) RGPD).
Lorsque Plank traite des données personnelles pour le compte d'un client professionnel agissant en qualité de responsable du traitement, les demandes pourront également être adressées à ce client ou transmises par Plank au responsable compétent.
12. Caractère obligatoire de la fourniture des données
Pour certaines finalités, la fourniture des données est nécessaire et les conséquences du défaut de fourniture sont les suivantes :
| Finalité | Nature de la fourniture | Conséquences du défaut de fourniture |
|---|---|---|
| Authentification et accès à la plateforme | Contractuelle | Impossibilité d'accéder à la plateforme et aux Services. |
| Gestion technique et sécurité des systèmes | Nécessaire à l'exécution du contrat / Intérêt légitime | Le traitement est inhérent au fonctionnement technique de la plateforme ; ne pas fournir ces données impliquerait de ne pas pouvoir utiliser les Services. |
| Respect des obligations légales | Obligation légale | Impossibilité pour Plank de respecter ses obligations réglementaires. |
| Analyses statistiques agrégées | Intérêt légitime | Aucune conséquence directe pour l'utilisateur. |
13. Droit de réclamation
Les personnes concernées ont le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente en matière de protection des données personnelles ou auprès de toute autre autorité de contrôle compétente si elles estiment que le traitement des données personnelles viole la réglementation applicable.
Garante per la Protezione dei Dati Personali (Italie) :
- Adresse : Piazza Venezia 11, 00187 Rome
- Téléphone : +39 06 69677 1
- Email : garante@gpdp.it
- Site web : www.gpdp.it
Alternativement, la personne concernée peut s'adresser à l'autorité de contrôle de l'État membre de l'Union européenne dans lequel elle réside habituellement, travaille ou dans lequel elle estime que la violation a eu lieu.
14. Modifications du présent avis
Le présent avis peut être mis à jour périodiquement pour refléter d'éventuelles modifications des Services, des évolutions réglementaires ou des changements dans les modalités de traitement des données personnelles. La version mise à jour sera publiée sur la plateforme et indiquera la date de la dernière mise à jour et le numéro de version.
Lorsque les modifications sont significatives au sens de l'art. 13 RGPD, Plank en informera les utilisateurs avec un préavis d'au moins 30 jours, par notification dans l'application ou par e-mail à l'adresse associée au compte. La poursuite de l'utilisation des Services après cette période constitue une prise de connaissance des modifications apportées.
Les versions précédentes de l'avis sont conservées par la Société aux fins de responsabilité prévues par l'art. 5(2) RGPD et sont disponibles sur demande.