1. Objectif et champ d'application
La présente politique définit la façon dont nous traitons les données à caractère personnel en qualité de responsable du traitement.
Le Groupe Apave s’engage à respecter le Règlement Général sur la Protection des Données (RGPD), ainsi que l'ensemble des lois et réglementations locales applicables dans nos différentes entités.
Cette politique s'applique uniformément au site internet Apave.com et s'étend de manière générique à l'ensemble des entités et filiales qui y sont rattachées, qu'elles soient situées en France ou à l'international : Apave Exploitation France (AEF), Apave Infrastructures et Construction (AICF), Apave Italie, Apave Performance Immo, Apave Monaco, AQUASS, RSE France, Apave Tunisie, Apave India, Apave Afrique, Apave Vietnam et AGTS.
Dans le cadre de nos activités, nous agissons généralement en tant que responsable de traitement indépendant de nos clients (relation de responsable de traitement à responsable de traitement):
- Formation - certification - audit : Apave est responsable de traitement au même titre que nos clients, notamment car nous déterminons seul les finalités et moyens pour pouvoir répondre aux exigences réglementaires qui s’appliquent à nous. Il y a seulement un passage de relais entre 2 responsables de traitement.
- Inspection - essais et mesures : nous ne collectons pas de données personnelles hormis celles nécessaires à l'exécution de l'objet du contrat, traitements pour lesquels Apave détermine seul les finalités et moyens. Apave agit pour remplir ses obligations d’organisme tiers de confiance et assurer la traçabilité de ses interventions. Nous exerçons des professions réglementées avec une autonomie décisionnelle sur le cœur de la mission.
- Conseil : dans les cas où nous agissons dans le cadre de missions de conseil ou nous apportons notre expertise et savoir-faire et notre méthodologie propre, nous sommes responsables indépendants du traitement (audit de conformité, gestion des risques, conseil technique ou organisationnel). Lorsque la mission se limite à une prestation technique ou opérationnelle exécutée exclusivement sous les instructions strictes du client sans marge de manœuvre (le client nous fournit la base de données, en utilisant ses propres critères), Apave sera alors sous-traitant du client.
2. Les données personnelles récoltées dans le cadre de nos activités
-
Toutes activités
Traitement : gestion du site web
- Entités concernées : toutes les entités (Apave Exploitation France (AEF), Apave Infrastructures et Construction (AICF), Apave Italie, Apave Performance Immo, Apave Monaco, AQUASS, RSE France, Apave Tunisie, Apave India, Apave Afrique, Apave Vietnam et AGTS.
- Finalités détaillées :
- Améliorer nos produits et services
- Vous proposer de la publicités et des contenus personnalisés
- Maintenance et sécurisation technique du site web.
- Données personnelles collectées :
- Identité (Nom, prénom).
- Coordonnées professionnelles (E-mail, téléphone).
- Vie professionnelle (Fonction, entreprise, secteur).
- Données de navigation (Cookies, adresses IP, logs de connexion).
- Résultats des enquêtes de satisfaction.
Traitement : gestion et suivi du contrat client
- Entités concernées : toutes les entités (Apave Exploitation France (AEF), Apave Infrastructures et Construction (AICF), Apave Italie, Apave Performance Immo, Apave Monaco, AQUASS, RSE France, Apave Tunisie, Apave India, Apave Afrique, Apave Vietnam et AGTS.)
- Finalités détaillées :
- Assurer le suivi et la gestion du contrat et des prestations qui y sont liées.
- Planification des interventions et de préparation des éléments de reporting, le cas échéant.
- Traitement des formulaires de contact et demandes de devis.
- Envoi de newsletters et prospection commerciale.
- Enquêtes de satisfaction clients
- Données personnelles collectées :
- Données d’identification : nom, prénom
- Vie professionnelle : coordonnées du client, fonction, société de rattachement, historique de la relation d’affaires
-
Formation
Nous disposons d’une politique de protection des données formation concernant la France, vous trouverez le lien ici
Traitement : Inscription et gestion administrative des formations
- Entités concernées : AEF, BVT, et filiales internationales.
- Finalités détaillées :
- Traitement des dossiers d'inscription.
- Établissement des conventions de formation et facturation.
- Constitution et suivi des dossiers de financement auprès des organismes publics.
- Envoi des convocations et fiches d'accueil
- Données personnelles collectées :
- Identité et coordonnées professionnelles de l'apprenant.
- Coordonnées de l'employeur ou du commanditaire.
- Informations financières de facturation.
Traitement : Suivi de la présence des stagiaires et animation de la formation
- Entités concernées : AEF, BVT, et filiales internationales.
- Finalités détaillées :
- Contrôle de l'assiduité des stagiaires
- Digitalisation et signature des feuilles d'émargement via l'application dédiée (ou sur support physique).
- Données personnelles collectées :
- Nom, prénom.
- Signature (manuelle ou numérique).
- Logs techniques de connexion à l'application d'émargement.
Traitement : Gestion des prérequis et aptitudes
- Entités concernées : AEF, BVT, et filiales internationales.
- Finalités détaillées :
- Validation des aptitudes d'entrée pour les formations réglementées.
- Vérification des niveaux d'études ou des habilitations techniques préalables nécessaires.
- Données personnelles collectées :
- Diplômes ou titres détenus.
- Justificatifs d'expérience professionnelle.
- Aptitudes médicales spécifiques (lorsque requis par la loi locale, ex: risques rayonnements nucléaire).
Traitement : Évaluation, certification et édition des livrables
- Entités concernées : AEF, BVT, et filiales internationales.
- Finalités détaillées :
- Déroulement des examens théoriques et pratiques.
- Édition et délivrance des titres et certificats réglementaires.
- Transmission aux registres nationaux légaux (ex : INRS).
- Données personnelles collectées :
- Notes, évaluations et assiduité.
- Date et lieu de naissance (exigence réglementaire pour l'édition de certains titres).
- Photographie d'identité de l'apprenant (si requise pour le titre).
Traitement : Mesure de la satisfaction pédagogique
- Entités concernées : AEF, BVT, et filiales internationales.
- Finalités détaillées :
- Collecte et traitement des avis des stagiaires sur la qualité de la formation dispensée.
- Données personnelles collectées :
- Évaluations qualitatives et commentaires (avec possibilité d’anonymiser).
-
Conseil
Traitement : Évaluation des Risques Psychosociaux (RPS) & Santé-Sécurité au Travail (SST)
- Entités concernées : Apave Exploitation France (AEF).
- Finalités détaillées :
- Réalisation d'enquêtes de climat social et entretiens de perception.
- Diagnostic de la culture sécurité au sein des entreprises.
- Accompagnement à la rédaction du Document Unique (DUER).
- Données personnelles collectées :
- Réponses aux questionnaires de perception, opinions professionnelles.
- Situations de risques identifiées par poste de travail.
- Photographies de postures de travail (sans captation du visage).
Traitement : conseil en Radioprotection (CRP)
- Entités concernées : Apave Exploitation France (AEF).
- Finalités détaillées :
- Surveillance de l'exposition radiologique individuelle (absence de dépassement des limites).
- Routage sécurisé des alertes d'exposition anormale vers le médecin du travail.
- Données personnelles collectées :
- Données de surveillance Dosimétrique Individuelle (SDI).
- Bilans et rapports d'évaluation transmis aux clients sous forme de données strictement statistiques et anonymisées (moyennes, doses min/max).
Traitement : Accompagnement RSE / ESG
- Entités concernées : RSE France (expert dédié), Apave SA, AEF, BVT, Apave Performances Immo, AQUASS, et filiales internationales.
- Finalités détaillées :
- Diagnostics de maturité durable et sociétale.
- Réalisation de bilans carbone (réglementaires ou volontaires).
- Conseil en stratégie extra-financière et de transition.
- Données personnelles collectées :
- Coordonnées des interlocuteurs techniques du client.
- Données opérationnelles d'activité de l'entreprise nécessaires au calcul des indicateurs environnementaux/sociaux.
Traitement : lutte contre le travail dissimulé ("Id control")
- Entités concernées : AICF (bâtiment France) et filiales internationales
- Finalités détaillées :
- Contrôle de la conformité et de la régularité des entreprises sous-traitantes intervenant sur les chantiers de construction.
- Données personnelles collectées :
- Données d’identification (nom, prénom)
- Données professionnelles (carte BTP, badge d’accès)
-
Essais et mesures
Traitement : Mesures d'exposition professionnelle
- Entités concernées : AEF (Laboratoires & Agences de Mesures) et filiales internationales.
- Finalités détaillées :
- Campagnes de mesures physiques (bruit, poussières, vibrations, qualité de l'air) sur les postes de travail au sein des établissements clients.
- Données personnelles collectées :
- Mesures physiques d'exposition rattachées à un poste de travail (salarié indirectement identifiable par son employeur).
Traitement : Prélèvements et essais géotechniques
- Entités concernées : AGTS (expert dédié) et filiales internationales.
- Finalités détaillées :
- Identification des parties prenantes pour exercer les missions suivantes : campagnes de carottages, prélèvements et analyses physiques des sols, des fondations et des structures routières.
- Données personnelles collectées :
- Coordonnées des exploitants et propriétaires des parcelles foncières.
Traitement : Essais sur matériaux de construction
- Entités concernées : AICF, AEF, et filiales internationales.
- Finalités détaillées :
- Identification des parties prenantes pour exercer les missions suivantes : contrôles physiques de conformité et de résistance des bétons, granulats et structures de chantiers.
- Données personnelles collectées :
- Coordonnées professionnelles des conducteurs de travaux et responsables de chantiers.
-
Audit
Traitement : Évaluation des établissements ÉS&MS
- Entités concernées : AEF (Direction Technique).
- Finalités détaillées :
- Audits de conformité des structures médico-sociales (référentiel HAS).
- Gestion administrative, contractuelle et financière des évaluateurs/intervenants externes non-salariés.
- Données personnelles collectées :
- Notes d'audits au sein des établissements.
Traitement : Audits techniques, sécurité & Infrastructures
- Entités concernées : AICF (expert Télécoms & Bâtiments), AEF, et filiales internationales
- Finalités détaillées :
- Identification des parties prenantes afin d’exercer les missions suivantes : diagnostics d'installations industrielles complexes, audits de sécurité sur les infrastructures de Télécommunications (pylônes mobiles, raccordements fibre optique).
- Données personnelles collectées :
- Identité et fonction des responsables techniques ou d'exploitation.
Traitement : Audits de certification réglementaire ou volontaire
- Entités concernées : AEF et filiales internationales.
- Finalités détaillées :
- Évaluation des systèmes de management des entreprises selon les normes internationales (ISO 9001, 14001, 45001, 50001, etc.).
- Données personnelles collectées :
- Noms, prénoms et fonctions des collaborateurs audités lors des entretiens
-
Inspection
Traitement : vérifications réglementaires périodiques (VRP)
- Entités concernées : AEF et filiales internationales.
- Finalités détaillées :
- Identification des parties prenantes afin d’exercer les missions suivantes : contrôles obligatoires de conformité des équipements en exploitation (appareils de levage, installations électriques, équipements sous pression - ESP).
- Données personnelles collectées :
- Coordonnées des interlocuteurs et responsables de maintenance chez le client.
- Noms et signatures des techniciens/responsables dans les rapports d'inspection légaux.
Traitement : contrôle technique de construction
- Entités concernées : AICF et filiales internationales.
- Finalités détaillées :
- Missions réglementaires portant sur la solidité des structures et la sécurité incendie des bâtiments neufs ou ouvrages de génie civil.
- Données personnelles collectées :
- Coordonnées des maîtres d'ouvrage, architectes et bureaux d'études partenaires.
- Avis techniques intégrant des données nominatives de validation.
Traitement : suivi et validation des qualifications réglementaires
- Entités concernées : AEF, AICF, et filiales internationales.
- Finalités détaillées :
- Gestion nominative, vérification et édition de titres ou cartes de compétences professionnelles pour le compte de tiers (ex : processus de qualification de soudeurs).
- Données personnelles collectées :
- Noms, prénoms, date de naissance, photographies des personnels qualifiés.
- Historique et résultats des épreuves techniques passées.
-
Certification
Traitement : certification de systèmes de management (ISO 9001, 14001, 45001, 27001, 50001...)
- Entités concernées : AEF, Apave SA, et filiales internationales (Apave Italie, Tunisie, India, Afrique, Vietnam, Monaco).
- Finalités détaillées :
- Instruction des demandes de certification et contractualisation.
- Planification, suivi et réalisation des audits de certification.
- Prise de décision technique (octroi, maintien, renouvellement, suspension ou retrait du certificat).
- Envoi de notifications et rappels de renouvellement de certification par e-mail.
- Gestion des réclamations et des processus d'appel.
- Données personnelles collectées :
- Identité et coordonnées professionnelles du référent client (Nom, prénom, e-mail, téléphone).
- Vie professionnelle (Fonction, entreprise).
- Noms, prénoms et fonctions des collaborateurs audités ou interrogés.
- Données d'évaluation et décisions de certification.
Traitement : certification de compétences et de personnes (Diagnostiqueurs immobiliers, Soudeurs...)
- Entités concernées : AEF, BVT, Apave Performance Immo, AICF et filiales internationales.
- Finalités détaillées :
- Organisation, surveillance et déroulement des examens théoriques et pratiques.
- Édition, délivrance et gestion des certificats ou cartes de compétences professionnelles.
- Tenue à jour et publication des registres des personnes certifiées
- Gestion et envoi des rappels de renouvellement des certifications.
- Données personnelles collectées :
- Identité complète (Nom, prénom, date et lieu de naissance).
- Coordonnées personnelles ou professionnelles (E-mail, téléphone, adresse postale).
- Vie professionnelle (CV, diplômes, historique de carrière, employeur).
- Résultats des épreuves, notes et évaluations techniques.
- Photographie d'identité et signature de la personne certifiée selon la certification.
Traitement : certification de produits, services et labels (Qualiopi, Label, Marquage CE, EPI...)
- Entités concernées : AEF, RSE France (expert dédié labels ESG/RSE), AICF (produits de construction), BVT (emballages/équipements TMD) et filiales internationales.
- Finalités détaillées :
- Audits sur site ou sur pièces de conformité par rapport aux référentiels applicables.
- Édition et délivrance des attestations de conformité ou labels.
- Suivi annuel et contrôle de surveillance du maintien de la conformité.
- Données personnelles collectées :
- Coordonnées professionnelles des interlocuteurs et responsables de conformité (Nom, prénom, e-mail, téléphone).
- Données opérationnelles, techniques et nominatives intégrées aux dossiers techniques soumis pour évaluation de conformité.
3. Conservation et sécurité des données
Nous mettons en place les mesures de sécurité organisationnelles et techniques nécessaires et appropriées contre tout accès, toute modification, divulgation ou destruction non autorisée des données que nous stockons. La Politique de Sécurité du Système d’Information (PSSI) peut vous être transmise pour obtenir plus de détails sur les mesures.
Ces mesures sont notamment les suivantes :
- Ne collecter que les données nécessaires aux finalités déterminées, explicites et légitimes déclarées.
- Les collaborateurs, sous-traitants, prestataires et interlocuteurs d’Apave qui ont besoin d'accéder aux données à caractère personnel pour exercer leurs rôles, fonctions et responsabilités :
sont habilités et ont un accès qui leur est strictement réservé. - sont sensibilisés et/ou formés, selon leurs rôles, fonctions et responsabilités.
- S’engagent à respecter la confidentialité des données qu’ils manipulent et ont été informés des risques et sanctions en cas de manquement à cette obligation.
- Nous chiffrons les données lorsque cela est nécessaire.
- Nous réalisons des audits internes et de nos fournisseurs traitant des données à caractère personnel pour le compte d’Apave.
Conformément au principe de limitation de la conservation des données à caractère personnel, nous avons fixé des durées de conservation adaptées à la finalité des traitements réalisés. Afin de s’assurer de l’application de ces principes, diverses mesures ont été prises :
- Intégration des durées de conservation et de l’archivage dans notre Procédure Générale Qualité et dans notre procédure de gestion des durées de conservation.
- Automatisation de certaines purges.
- Processus de durée de conservation, archivage et purge dans nos projets.
- Prises en compte des demandes de destruction des données sur instruction de la personne concernée ou du client.
- Procédure de mise en rebut de matériels.
Nous conservons généralement les données à caractère personnel pendant la durée de la relation commerciale, puis nous les archivons ou les supprimons. Dans certains cas, nous nous réservons le droit de les conserver pour une durée plus longue notamment pour prévenir un éventuel contentieux et répondre à nos obligations légales et réglementaires.
En cas de violation de données personnelles présentant un risque pour les droits et libertés des personnes, le DPO d’Apave notifie l’autorité de contrôle compétente territorialement dans les meilleurs délais, et au plus tard 72 heures après en avoir pris connaissance. Les personnes concernées sont également informées dans les meilleurs délais.
4. Destinataires des données et transferts internationaux
- Destinataires internes : les données personnelles sont strictement réservées aux services internes de l’entité du groupe Apave dûment habilités en charge de l'exécution, du suivi ou de la facturation des prestations. Les données peuvent être transférées à la maison mère du Groupe à des fins de gestion et de pilotage de notre base client, de pilotage de nos enquêtes clients, etc. Par ailleurs, les données de contact de nos clients peuvent être partagées à d’autres entités du Groupe qui fournissent le même type d’activités.
- Sous-traitants et tiers de confiance : nous faisons appel à des prestataires de confiance (hébergement cloud, éditeurs de plateformes LMS, formateurs ou intervenants externes certifiés) liés contractuellement par un accord formel de sous-traitance conforme à la réglementation locale applicable et aux normes de sécurité . Lorsque nous faisons appel à la sous-traitance pour mener des activités de traitement spécifiques, nous nous assurons que ces sous-traitants respectent les mêmes obligations et présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement de données personnelles réponde aux exigences de la réglementation en vigueur. Un accord portant sur la sous-traitance de données à caractère personnel sera alors formellement conclu.
- Autorités publiques : les données peuvent être partagées pour respecter nos obligations légales ou administratives, ou lors d’audits externes menés par des organismes d’évaluation habilités (ex en France : INRS, OPCO, COFRAC, CARSAT) .
- Garantie sur les transferts hors de l'Union Européenne :
- Pour les entités basées en France/UE : l'hébergement principal des données des entités européennes soit situé en France ou au sein de l'UE, nous ne transférons généralement pas de données en dehors de l’Union Européenne. Dans le cas où nous y serions amenés pour les besoins d’un contrat, nous nous engageons à mettre en place les garanties appropriées permettant le transfert. En tout état de cause, nous restons responsables de nos engagements sur ces données à caractère personnel.
- Pour les entités basées à l’étranger : les données sont hébergées au sein de l’UE (hors exception). Dans tous les cas, le Groupe Apave s’engage, avant tout transfert, à s’assurer du respect d’un niveau de protection adéquat ou à conclure des clauses contractuelles spécifiques conformes aux réglementations locales et européennes en vigueur.
5. Droits des personnes concernées
Conformément aux réglementations applicables, toute personne physique dispose de droits fondamentaux qu'Apave s'engage à respecter :
- Droit à l'information claire, loyale et transparente.
- Droit d'accès aux informations et obtention d'une copie des données.
- Droit de rectification des données erronées, inexactes ou incomplètes.
- Droit d'opposition à certains traitements, notamment à la prospection commerciale.
- Droit au retrait du consentement à tout moment (sans effet rétroactif).
- Droit à l'effacement (droit à l’oubli), sous réserve que le traitement ne concerne pas l'exécution d'un contrat en cours.
- Droit à la portabilité des données fournies directement par la personne, basées sur le contrat ou le consentement.
- Droit à la limitation du traitement et directives de gestion des données après décès.
Pour exercer ces droits, l'utilisateur peut contacter la DPO du Groupe via le formulaire de contact en ligne , ou par courrier postal adressé à : Apave, À l'attention de la DPO, 6 Rue du Général Audran, 92400 Courbevoie, France. Il est également possible d'introduire une réclamation auprès de l'autorité de contrôle compétente (la CNIL en France).
La présente politique est régulièrement révisée et mise à jour en fonction des évolutions technologiques et des textes réglementaires nationaux et internationaux.
Date de la dernière mise à jour :18/06/2026
