Share

Politique de confidentialité

Politique de confidentialité

Politique de conformité d’ Inovalis avec le Règlement européen sur la protection des données personnelles

Présentation

Inovalis SA (ci après “Inovalis”) est une société de gestion de portefeuille agréée par l’Autorité des Marchés Financiers (AMF) sous le numéro GP-10000009 au titre de la directive 2011-61 “AIFM”.
Inovalis est autorisé à exercer les activités de gestion d’Organismes professionnels de placement collectifs immobiliers (fonds d’investissement immobiliers non commercialisés de façon active ni marketés) et de conseil en investissement immobilier (carte professionnelle n° CPI 7501 2016 000 012 722 autorisant l’exercice de l’activité de Transaction sur immeubles et fonds de commerce et de Gestion immobilière).
La présente politique de traitement des données personnelles d’Inovalis présente à toute personne concernée ou tout responsable de traitement concerné de sa démarche de conformité avec le Règlement européen n°2016/679 dit “Règlement général sur la protection des données” ou “RGPD”.
Inovalis s’engage, à faire ses meilleurs efforts afin d’assurer la protection, la confidentialité et la sécurité des données à caractère personnel qu’il collecte ou le cas échéant dont il n’effectue qu’un traitement, dans le cadre des obligations prévues par le règlement européen relatif à la protection des données personnelles dit “RGPD”.

Principaux traitements de données personnelles et finalités

Les données personnelles traitées par Inovalis dans le cadre de son activité sont collectées auprès de ses relations d’affaires ou le cas échéant des tiers concernés.
Chaque traitement de données peut répondre à différentes finalités donnant lieu ou non à collecte du consentement des personnes concernées selon notamment la législation applicable ou le contexte contractuel concerné. Des durées de conservation spécifiques s’appliquent dans le cadre des activités financières et immobilières d’Inovalis. Dans tous les cas les personnes concernées font l’objet de l’information réglementaire requise.
Sont en effet licites même sans consentement des personnes concernées les traitements fondés sur l’exécution d’une obligation légale ou réglementaire (notamment et de façon non limitative : règles applicables à la gestion de placement collectif, au conseil en investissement financier, aux activités entrant dans le champ d’application de loi Hoguet, à la lutte contre le blanchiment et le financement du terrorisme, à la lutte contre l’évasion fiscale…), contractuelle ou la poursuite d’un intérêt légitime.

Conditions d’exercice de leurs droits par les personnes concernées

Inovalis informe les personnes concernées des informations suivantes :

  • Inovalis, dont le siège est situé 52 rue de Bassano 75008 Paris, est responsable de traitement
  • l’adresse à laquelle le DPO d’Inovalis peut être joint est : Inovalis, Délégué à la Protection des données (DPO), 52 rue de Bassano, 75008 Paris. L’adresse Email du DPO est : dpoinovalis@inovalis.com
  • Le DPO peut être contacté à l’adresse suivante : INOVALIS SA, DPO, 52 rue de Bassano, 75008 PARIS ou par Email à dpoinovalis@inovalis.com.
  • Lors de la collecte et/ou d’un traitement de données personnelles, les personnes concernées sont informées par Inovalis des finalités prévues et, le cas échéant, de la qualification d’un intérêt légitime ainsi que des destinataires ou catégories de destinataires des données collectées.
  • le cas échéant les personnes concernées seraient informées de l’existence d’un transfert des données à caractère personnel vers un pays tiers ainsi que la conformité du pays en question au regard des obligations au titre du RGPD.
  • La durée de conservation des données à caractère personnel est de 5 ans à compter de la date de fin de la relation d’affaires. Conformément à la réglementation applicable en matière de lutte contre le blanchiment et le financement du terrorisme (article L561-32 du Code monétaire et financier) Inovalis apprécie la fin de la relation d’affaires au niveau du Groupe.
  • La nature immobilière de l’activité d’Inovalis peut lui imposer des durées de conservations spécifiques (en application notamment de la loi du 10 juillet 1965 sur la copropriété et décret du 31 mars 1967). La nature de certains documents (en application des articles L123-22 du Code de commerce, 2224 et 2227 du Code civil), l’existence de procédures ou d’un risque juridique, ou l’existence d’obligations de contrôle interne (article L621-15 du Code monétaire et financier) comportent également des règles spécifiques de conservation des données et documents liés à l’activité d’Inovalis. Ces durées sont précisées aux personnes concernées au moment de la collecte des données personnelles.
  • Concernant les données personnelles de prospection, collectées par Inovalis (hors cas de la gestion de FIA professionnels dédiés laquelle ne donne pas lieu à commercialisation ni de marketing), la duré maximale de conservation des données personnelles est de 3 ans à compter du dernier envoi resté sans réponse.
  • les personnes concernées bénéficient d’un droit d’accès, de rectification ou d’effacement, de retrait, de limitation, d’opposition et de portabilité de leur données à caractère personnel ainsi que du droit d’introduire une réclamation auprès d’une autorité de contrôle (CNIL).

Dispositif de maîtrise des traitements et des risques associés

Les applications hébergées à distance et les données personnelles collectées sont enregistrées sur des serveurs situés en France.
Les process de conformité RGPD d’Inovalis prévoient que chaque étape de contrôle est documentée afin de justifier de la démarche, des moyens utilisés et de la robustesse des solutions mises en oeuvre.
Quant aux entités dont les données personnelles présentent un risque spécifique, elles mettent en oeuvre les outils d’analyse d’impact.
Concernant les éventuels sous-traitants sélectionnés pour mener des activités de traitement de données personnelles pour son compte, Inovalis requiert de ces derniers l’application des mêmes obligations en matière de protection de données personnelles que celles pesant sur lui.
Le dispositif de sécurité (règles de mot de passe, sécurité réseau antivirus et firewall, cloisonnement des répertoires et applications en fonction des entités, des services, des profils personnels ou des habilitations spéciales) intègre un plan de suivi périodique de l’activité réseau tant en interne qu’avec l’extérieur afin de détecter d’éventuels vols ou piratage de données personnelles.
En cas de défaillance avérée ou suspectée, le plan de sécurité prévoit la mise en oeuvre de la procédure réglementaire d’information des personnes concernées et le cas échéant l’information de l’Autorité de contrôle.