Votre produit est-il concerné par le CBAM ?Vérifier gratuitement
CarbonSmart

POLITIQUE DE CONFIDENTIALITÉ

Dernière mise à jour : 17 avril 2026 Date d'entrée en vigueur : 17 avril 2026 La présente Politique de confidentialité (« Politique ») a été élaborée par CarbonSmart Teknoloji ve Danışmanlık A.Ş. (« CarbonSmart », « la Société », « nous ») afin d'expliquer les finalités, les fondements juridiques et la manière dont sont traitées les données à caractère personnel obtenues dans le cadre du site web marketing carbonsmart.io et des services logiciels de comptabilité carbone et de gestion de la durabilité proposés via app.carbonsmart.io (« Plateforme » ou « Service ») ; les tiers auxquels ces données sont transférées ; ainsi que les droits des personnes concernées et la manière dont ces droits peuvent être exercés. La Politique a été élaborée conformément à la législation applicable, y compris la loi turque n° 6698 sur la protection des données à caractère personnel (« KVKK »), le Communiqué relatif aux procédures et principes à suivre pour s'acquitter de l'obligation d'information, et le Règlement relatif à l'effacement, à la destruction ou à l'anonymisation des données à caractère personnel ; et, en ce qui concerne les personnes concernées résidant dans l'Union européenne, conformément au règlement (UE) 2016/679 (« RGPD ») ; et, en ce qui concerne les personnes concernées résidant au Royaume-Uni, conformément au UK GDPR. 1. IDENTITÉ DU RESPONSABLE DU TRAITEMENT 1.1. L'entité juridique agissant en qualité de responsable du traitement au sens de la KVKK est indiquée ci-dessous : Dénomination sociale : CarbonSmart Teknoloji ve Danışmanlık A.Ş. Siège : Sanayi Mahallesi, Teknopark Bulvarı, Teknopark İstanbul, Pendik/İstanbul 34906, Türkiye Bureau d'Istanbul : A+Live Plaza, Barbaros Mahallesi, Begonya Sokak No:7, Ataşehir/İstanbul 34746, Türkiye Bureau de Londres : 2 Eastbourne Terrace, London W2 6LG, Royaume-Uni Courriel de contact : info@carbonsmart.io Adresse web : https://carbonsmart.io 1.2. Dans la mesure où cela est requis pour les personnes concernées résidant dans l'Union européenne, un représentant de l'UE a été désigné conformément à l'article 27 du RGPD, dont les coordonnées peuvent être demandées à info@carbonsmart.io. 2. DÉFINITIONS 2.1. Aux fins de la présente Politique : (a) Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable, (b) Catégories particulières de données à caractère personnel : les données énumérées à l'article 6 de la KVKK, (c) Traitement : opérations telles que la collecte, l'enregistrement, le stockage, la conservation, la modification, la réorganisation, la divulgation, le transfert, la prise en charge, la mise à disposition, la classification ou l'empêchement de l'utilisation des données à caractère personnel, par des moyens entièrement ou partiellement automatisés ou par des moyens non automatisés à condition qu'ils fassent partie d'un système de fichiers, (d) Personne concernée : la personne physique dont les données à caractère personnel sont traitées, (e) Client : la personne morale ou l'entreprise commerciale (personne morale ou physique) ayant conclu un contrat d'abonnement par écrit ou par voie électronique avec CarbonSmart, (f) Utilisateur final : la personne physique qui utilise la Plateforme au nom ou pour le compte du Client, (g) Données de la Plateforme : toute donnée commerciale téléchargée sur la Plateforme par le Client ou l'Utilisateur final, auront les significations énoncées ci-dessus. 3. CATÉGORIES DE DONNÉES À CARACTÈRE PERSONNEL TRAITÉES 3.1. Compte tenu de la nature du Service qu'elle fournit, CarbonSmart traite les catégories suivantes de données à caractère personnel : 3.1.1. Données d'identité : Prénom, nom, titre, signature (y compris signature électronique). 3.1.2. Données de contact : Adresse électronique professionnelle, numéro de téléphone, adresse professionnelle, adresse de courrier électronique enregistré (KEP). 3.1.3. Données relatives aux opérations clients : Informations d'abonnement, informations de facturation et de paiement (le numéro de carte complet n'est pas conservé, bien que les informations de référence masquées détenues par le prestataire de services de paiement soient conservées), historique des commandes, registres contractuels. 3.1.4. Données financières : IBAN, adresse de facturation, numéro fiscal/bureau des impôts, historique des paiements. 3.1.5. Données d'activité de l'utilisateur : Création de compte, registres de connexion/déconnexion, adresse IP, identifiants de session, type de navigateur, informations sur l'appareil, système d'exploitation, analyses d'utilisation, traces de clics et de navigation au sein des modules, journaux d'appels API. 3.1.6. Données marketing et promotionnelles : Statut d'abonnement à la newsletter, registres d'ouverture/de clic des courriels, contenu des formulaires de demande de démonstration, informations d'inscription aux événements. 3.1.7. Données de cookies : Données obtenues par l'intermédiaire de cookies strictement nécessaires, fonctionnels, analytiques et marketing. Pour plus de détails, veuillez vous reporter à la Politique en matière de cookies. 3.1.8. Données de support et de communication : Contenu des tickets de support, registres de chat en direct, enregistrements des réunions vidéo (uniquement avec la notification et le consentement préalables des parties). 3.1.9. Données juridiques et de conformité : Contrats, documents de représentants autorisés, demandes KVKK, dossiers d'affaires juridiques. 3.1.10. Données de tiers téléchargées sur la Plateforme par le Client : Données à caractère personnel des représentants de fournisseurs, employés ou autres tiers téléchargées sur la Plateforme par le Client dans le cadre de la comptabilité carbone, du reporting CBAM, des calculs PCF/ACV/DEP, du reporting de durabilité TSRS/CSRD/GRI et des modules d'empreinte eau (« Données à caractère personnel de la Plateforme »). Pour ces données, CarbonSmart agit en qualité de sous-traitant au sens de l'article 3 de la KVKK et de sous-traitant au sens de l'article 28 du RGPD, et un Accord de traitement des données (DPA) distinct s'applique. 3.2. CarbonSmart s'engage à ne pas traiter de catégories particulières de données à caractère personnel à moins que cela ne soit nécessaire au fonctionnement de la Plateforme. Si des catégories particulières de données à caractère personnel sont téléchargées sur la Plateforme par le Client, la responsabilité du traitement incombe au Client, comme indiqué dans les Conditions d'utilisation. 4. MÉTHODES DE COLLECTE DES DONNÉES À CARACTÈRE PERSONNEL 4.1. Les données à caractère personnel sont collectées (a) directement auprès de la personne concernée via les interfaces de la Plateforme, les formulaires web, les interactions avec le navigateur mobile/de bureau, le courriel et les canaux de support ; (b) par l'intermédiaire des représentants autorisés par le Client ; (c) via des intégrations API et des connexions SSO ; (d) par des contrats, formulaires et documents physiquement signés ; (e) dans le cadre d'événements, de salons commerciaux, de réunions de démonstration et de discussions commerciales B2B ; (f) automatiquement par l'intermédiaire de cookies, pixels et technologies similaires ; et (g) par des demandes ou notifications émanant des autorités publiques ou d'autres organismes compétents conformément aux obligations légales. 5. FINALITÉS DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL 5.1. Les données à caractère personnel sont traitées conformément à l'article 4 de la KVKK, de manière licite et loyale, pour des finalités déterminées, explicites et légitimes, d'une manière liée, limitée et proportionnée aux finalités pour lesquelles elles sont traitées, et uniquement pour la durée prévue par la législation applicable. Les principales finalités du traitement sont : 5.1.1. Conclusion et exécution du contrat d'abonnement, création de compte et gestion de compte. 5.1.2. Fourniture, développement et amélioration des produits et modules de la Plateforme (CCFP, CBAM, PCF, ACV & DEP, TSRS/CSRD/GRI, Empreinte Eau). 5.1.3. Conduite des processus de facturation, recouvrement, comptabilité et finance. 5.1.4. Fourniture de services de support client et gestion des demandes et plaintes. 5.1.5. Conduite des processus de sécurité de l'information et de cybersécurité ; détection et prévention des accès non autorisés. 5.1.6. Gestion de la continuité d'activité et des processus de sauvegarde. 5.1.7. Respect des obligations légales (notamment fiscalité, livres de commerce, KVKK, TSRS et conformité au reporting). 5.1.8. Communications d'entreprise, marketing et activités promotionnelles ; étant entendu que l'envoi de messages électroniques commerciaux est soumis à un consentement explicite obtenu conformément à la loi n° 6563 sur le commerce électronique. 5.1.9. Analyse de l'expérience utilisateur et des performances de la Plateforme et développement de la feuille de route produit (priorité étant donnée aux données agrégées/anonymisées). 5.1.10. Gestion des litiges juridiques ; conduite des procédures contentieuses, d'exécution et des demandes officielles. 5.1.11. Audit interne, gestion des risques, conformité et activités du système de management de la sécurité de l'information (objectif ISO 27001). 6. FONDEMENTS JURIDIQUES DU TRAITEMENT 6.1. Les données à caractère personnel sont traitées sur les fondements juridiques suivants conformément aux articles 5 et 6 de la KVKK et aux articles 6 et 9 du RGPD : 6.1.1. Nécessaire au traitement des données à caractère personnel des parties, à condition qu'il soit directement lié à la conclusion ou à l'exécution d'un contrat (article 5/2-c de la KVKK ; article 6/1-b du RGPD). 6.1.2. Nécessaire pour que le responsable du traitement s'acquitte de ses obligations légales (article 5/2-ç de la KVKK ; article 6/1-c du RGPD). 6.1.3. Nécessaire à la constitution, à l'exercice ou à la protection d'un droit (article 5/2-e de la KVKK ; article 6/1-f du RGPD intérêt légitime). 6.1.4. Nécessaire aux intérêts légitimes du responsable du traitement, à condition que les droits et libertés fondamentaux de la personne concernée ne soient pas lésés (article 5/2-f de la KVKK ; article 6/1-f du RGPD) – par exemple, sécurité, prévention de la fraude et amélioration de la qualité du service. 6.1.5. Expressément prévu par la loi (article 5/2-a de la KVKK). 6.1.6. Lorsque les fondements juridiques énoncés ci-dessus ne sont pas applicables, le consentement explicite de la personne concernée (article 5/1 et article 6/2 de la KVKK ; article 6/1-a du RGPD). 6.2. Pour les opérations de traitement fondées sur le consentement explicite, la personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement n'affecte pas la licéité du traitement effectué avant ce retrait. 7. TRANSFERTS DE DONNÉES À CARACTÈRE PERSONNEL 7.1. Transferts internes. Les données à caractère personnel peuvent être transférées, dans le cadre de l'article 8 de la KVKK, à des cabinets de conseil juridique, de conseil financier et d'audit indépendant auprès desquels des services sont obtenus ; à des fournisseurs d'hébergement, de cybersécurité, de support client et de logiciels CRM ; à des prestataires de services de paiement et à des banques ; et à des autorités publiques habilitées par la loi (par exemple, le ministère du Trésor et des Finances, l'Institution de sécurité sociale, l'Administration des recettes, l'Autorité de protection des données personnelles, les autorités judiciaires). 7.2. Transferts transfrontaliers. CarbonSmart utilise Amazon Web Services (AWS, régions de Francfort et d'Irlande) et, le cas échéant, Google Cloud Platform pour l'infrastructure d'hébergement ; Google Workspace et des prestataires tels que SendGrid/Mailgun pour l'infrastructure de courrier électronique et de communication ; Plausible Analytics, respectueux de la vie privée (basé dans l'UE), pour les analyses produit ; Sentry pour la surveillance des erreurs ; Intercom/HubSpot pour le support client ; HubSpot pour l'automatisation marketing ; et le LinkedIn Insight Tag pour le marketing B2B. En outre, des transferts opérationnels intra-groupe peuvent être effectués avec le bureau de Londres (Royaume-Uni). Les transferts transfrontaliers sont effectués dans le cadre de l'article 9 de la KVKK et du règlement de 2024 connexe, en utilisant celle des méthodes suivantes qui est appropriée : (a) Transfert vers des destinataires situés dans des pays déclarés par l'Autorité comme assurant un niveau de protection adéquat, (b) Transfert sur la base de clauses contractuelles types avec notification à l'Autorité, (c) Règles d'entreprise contraignantes, ou (d) Consentement explicite dans les cas exceptionnels. Pour les transferts de données UE/Royaume-Uni, les articles 44 et suivants du RGPD ainsi que les Clauses contractuelles types de la Commission européenne (2021/914) s'appliquent. 7.3. CarbonSmart publie la liste à jour des sous-traitants ultérieurs à la demande des Clients et/ou sur une page de centre de confiance telle que trust.carbonsmart.io. 8. DURÉES DE CONSERVATION 8.1. Les données à caractère personnel sont conservées pour la durée requise par la finalité du traitement et pour les durées minimales prévues par la législation applicable. Les principales durées de conservation sont les suivantes : 8.1.1. Livres et registres commerciaux : 10 ans en vertu de l'article 82 du Code de commerce turc. 8.1.2. Documents au titre de la loi sur la procédure fiscale : 5 ans. 8.1.3. Registres de contrats et de communications commerciales : 10 ans à compter de la résiliation du contrat (prescription en vertu de l'article 146 du TBK). 8.1.4. Comptes d'abonnement et contenu de la Plateforme : Pendant la durée de l'abonnement, suivie d'une suppression définitive après une période de grâce de 90 jours à compter de la résiliation (sous réserve du droit du Client à la portabilité des données). 8.1.5. Tickets de support : 3 ans à compter de la date de clôture. 8.1.6. Consentements marketing et registres de consentement : 3 ans en vertu de la loi n° 6563 et des registres IYS. 8.1.7. Journaux et registres de sécurité : Au moins 2 ans en vertu de la loi n° 5651 et des règlements connexes. 8.1.8. Données basées sur les cookies : Les durées spécifiées dans la Politique en matière de cookies. 8.2. Les données dont la durée de conservation a expiré sont supprimées, détruites ou anonymisées lors de cycles d'élimination périodiques dans le cadre de la Politique de conservation et d'élimination des données à caractère personnel. 9. DROITS DE LA PERSONNE CONCERNÉE 9.1. Conformément à l'article 11 de la KVKK, la personne concernée peut s'adresser à CarbonSmart et exercer les droits suivants la concernant : (a) Savoir si ses données à caractère personnel sont traitées. (b) Demander des informations si ses données à caractère personnel ont été traitées. (c) Connaître la finalité du traitement des données à caractère personnel et savoir si les données sont utilisées conformément à cette finalité. (ç) Connaître les tiers auxquels les données à caractère personnel sont transférées sur le territoire national ou à l'étranger. (d) Demander la rectification des données à caractère personnel si elles ont été traitées de manière incomplète ou inexacte. (e) Demander l'effacement ou la destruction des données à caractère personnel dans les conditions prévues à l'article 7 de la KVKK. (f) Demander que les opérations effectuées au titre des points (d) et (e) soient notifiées aux tiers auxquels les données à caractère personnel ont été transférées. (g) S'opposer à ce qu'un résultat la concernant soit produit par l'analyse des données traitées exclusivement par des systèmes automatisés. (ğ) Demander réparation du préjudice subi du fait du traitement illicite des données à caractère personnel. 9.2. Les personnes concernées résidant dans l'UE/au Royaume-Uni disposent en outre des droits prévus aux articles 15 à 22 du RGPD, y compris les droits à la portabilité des données et à l'opposition au traitement. 10. MESURES DE SÉCURITÉ 10.1. Dans le cadre de son objectif de conformité avec la norme ISO/IEC 27001 du Système de management de la sécurité de l'information, CarbonSmart met en œuvre et révise en permanence les mesures administratives et techniques suivantes : 10.1.1. Contrôles d'accès, autorisation basée sur les rôles et les permissions, et principe du moindre privilège. 10.1.2. Chiffrement des données en transit avec TLS 1.2/1.3 et des données au repos avec AES-256. 10.1.3. Authentification multi-facteurs et options d'intégration SSO d'entreprise. 10.1.4. Surveillance de la sécurité, solutions SIEM, tests d'intrusion et analyses de vulnérabilité. 10.1.5. Sécurité du code, examen de sécurité dans le cycle SDLC et analyses des dépendances. 10.1.6. Plans de reprise après sinistre et de continuité d'activité, avec sauvegardes régulières. 10.1.7. Formation régulière des employés en KVKK et en sécurité de l'information, et engagements de confidentialité. 10.1.8. Évaluations des risques fournisseurs, accords de traitement des données et processus d'approbation des sous-traitants ultérieurs. 10.2. Lorsque les Clients optent pour un déploiement VPC ou On-Premise, les mesures de sécurité sont adaptées à l'architecture technique concernée et une documentation de sécurité distincte est fournie. 11. COOKIES 11.1. CarbonSmart utilise des cookies et des technologies de suivi similaires à des fins notamment de gestion de session, de sécurité, de mémorisation des préférences utilisateur, d'analyse des statistiques d'utilisation et de marketing B2B. Des informations détaillées sur le type, la durée, la finalité et les fournisseurs tiers des cookies, ainsi que les instructions pour gérer les cookies, sont énoncées dans la Politique en matière de cookies. 12. DONNÉES À CARACTÈRE PERSONNEL DES ENFANTS 12.1. Le Service offert par CarbonSmart est de nature B2B et ne s'adresse pas aux personnes de moins de 18 ans. CarbonSmart ne collecte pas sciemment de données à caractère personnel auprès d'enfants. Les parents/tuteurs qui estiment que les données à caractère personnel d'un enfant ont été transmises à la Plateforme sans leur connaissance ou consentement peuvent contacter info@carbonsmart.io pour demander la suppression des données. 13. INTÉGRATIONS TIERCES 13.1. Le Client peut intégrer la Plateforme à des systèmes tiers (ERP, EBYS, logiciels comptables, plateformes de chaîne d'approvisionnement, fournisseurs d'authentification unique (SSO), clients API). Le partage de données qui s'effectue au travers de ces intégrations a lieu sur instruction du Client et sous la responsabilité du Client. CarbonSmart ne saurait être tenue responsable des pratiques de confidentialité des prestataires de services tiers. 14. PRISE DE DÉCISION AUTOMATISÉE ET PROFILAGE 14.1. CarbonSmart utilise des composants analytiques assistés par IA dans des processus tels que les calculs carbone, la validation des données et la catégorisation des émissions ; toutefois, ces processus ne constituent pas une prise de décision individuelle exclusivement automatisée produisant des effets juridiques pour les personnes concernées ou les affectant de manière significative similaire. Les résultats de la Plateforme sont examinés et validés par le Client. 15. NOTIFICATION DES VIOLATIONS DE DONNÉES 15.1. En cas de divulgation, d'accès ou de perte non autorisés de données à caractère personnel, une notification sera adressée à l'Autorité de protection des données personnelles conformément à l'article 12/5 de la KVKK dans les meilleurs délais et, en tout état de cause, dans un délai de 72 heures ; les personnes concernées affectées seront également informées dans un délai raisonnable. Pour les personnes concernées de l'UE/du Royaume-Uni, les processus de notification énoncés aux articles 33 et 34 du RGPD s'appliquent. 16. MODIFICATIONS DE LA POLITIQUE 16.1. CarbonSmart peut mettre à jour la présente Politique de temps à autre. La version à jour est publiée à l'adresse carbonsmart.io/legal-privacy. Les modifications substantielles sont annoncées via une notification sur la Plateforme et/ou par courriel. La poursuite de l'utilisation de la Plateforme après une modification vaut acceptation de la Politique mise à jour. 17. CONTACT ET DEMANDES 17.1. Les personnes concernées peuvent utiliser les canaux suivants pour exercer leurs droits au titre de la KVKK et soumettre toute question ou demande relative à la Politique : Adresse : CarbonSmart Teknoloji ve Danışmanlık A.Ş., Sanayi Mahallesi, Teknopark Bulvarı, Teknopark İstanbul, Pendik/İstanbul 34906 Courriel : info@carbonsmart.io Site web : carbonsmart.io/legal-privacy 17.2. Les demandes peuvent être faites par écrit, via une adresse KEP, par signature électronique sécurisée, par signature mobile, ou via l'adresse électronique que la personne concernée a précédemment notifiée à CarbonSmart et qui est enregistrée dans notre système. La conformité procédurale de la demande est évaluée conformément aux dispositions du Communiqué relatif aux procédures et principes pour la demande adressée au responsable du traitement.