Politique de confidentialité

 

Accord sur la protection des données

 

Le Client, agissant en qualité de responsable de traitement et la Société agissant en qualité de sous-traitant sont convenus de l’accord ci-après sur la protection des Données à Caractère Personnel pour lesquelles la Société en qualité de sous-traitant.

 

Finalité(s) du traitement :

  • Garantir l’accès à la Solution, et les opérations de collecte, d’utilisation, de transmission, de conservation, de consultation, de structuration, de rapprochement et suppression de Données à Caractère Personnel appartenant aux Utilisateurs, et notamment à des fins de gestion du compte utilisateur et d’exécution des Fonctionnalités en application de l’Abonnement du Client, ainsi que les opérations d’assistance et de maintenance, et enfin la réversibilité et l’archivage des données ;
  • Répondre aux obligations légales, ou dans son intérêt légitime (défense de ses intérêts), notamment en cas de demande d’auxiliaires de justice, de conseils soumis à une obligation de secret, d’officiers ministériels et d’organismes chargés d’effectuer le recouvrement de créances.
  • Utilisation des Données à Caractère Personnel à des fins commerciales, sous réserve du consentement du Client

 

Catégories de Données à caractère personnel

 

  •  

Catégories

 

Etat civil, identification, Données d’identification, image (nom, prénom, pseudo., date de naissance, numéro d’identification, adresse postale ou électronique, image, etc.)

Oui

Si oui :

Obligatoire : Adresse électronique

Facultative : Nom, Prénom

Vie professionnelle (CV, scolarité, formation professionnelle, distinctions, etc.)

Oui

Si oui : Nom de l’entreprise, Fonction occupée, Numéro SIREN

 

Données de connexion (adresse IP, logs, etc.)

Non

 

Données de localisation (déplacements, Données GPS, GSM, etc.)

Non

 

Données sensibles (données de santé, numéro de sécurité sociale, données relatives aux infractions, condamnations et mesures de sécurité, opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, origines raciales ou ethniques)

Non

 

 

Durée du traitement : durée du Contrat

Durée de conservation des Données à Caractère Personnel :

  • un (1) an à l’issue du Contrat en base active ;
  • en base intermédiaire :
    • un délai de cinq (5) suivant le terme du Contrat,
    • pour la durée des délais fixés par la loi pour toute autre finalité que l’exécution du Contrat de Services dont la Société est tenue, tels que les délais en matières fiscale et comptable.

Sort des Données à Caractère Personnel au terme du Contrat : restitution et/ou suppression

Les Données à Caractère Personnel sont collectées, consultées, organisées, structurées, transmises et effacées et plus généralement traitées pour les fins stipulées au Contrat et en vue d’exécuter ce dernier.

 

Si la Société considère qu’une instruction du Client constitue une violation du Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 ou toute autre règle applicable, elle devra en informer immédiatement ce dernier, sans préjudice de son droit :

  • À s’abstenir de toute action qui aurait pour conséquence de l’en rendre complice, coauteur, ou responsable en quelle que qualité que ce soit ; et
  • À suspendre ou résilier le Contrat.

 

Sous-traitance ultérieure

 

Il est expressément entendu que la Société est autorisée à sous-traiter les Données à Caractère Personnel à un sous-traitant de son choix sous réserve d’en informer le Client.

 

En toutes hypothèses, la Société s’engage à :

  • Ne recourir qu’à des sous-traitants de second rang qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, afin que les traitements de Données à Caractère Personnel satisfassent au Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 ;
  • Recueillir l’engagement de tout sous-traitant de second rang de se conformer aux obligations auxquelles la Société est elle-même soumise.

 

Le tableau ci-après définit le type de services éventuels réalisés et s’ils sont qualifiés de prestations essentielles, critiques ou importantes externalisées. Il précise également la localisation géographique, à savoir, le lieu de réalisation de ces services et le lieu de stockage des Données.

 

Sous-traitant Ultérieur

Nature des opérations de traitement

Services et/ou prestations qualifiés de prestations essentielles, critiques ou importantes

Localisation géographique

Clevercloud

 

Hébergement Plateforme : backend, base de données, frontend

OUI

France (société Européenne)

Amazon Web Services

Amazon S3 (Simple Storage Service)

Stockage des données comptables originales et des données prévisionnelles (résultats)

OUI

France (société américaine)

Chift

 

Développement et maintenance des connecteurs au système du Client

OUI

Belgique (société Belge)

UbiOps

Utilisation des Données à Caractère Personnel dans des pipelines de traitement (algorithmes de nettoyage, clustering et prédictions)

OUI

Pays-Bas

 

Origine des Données à Caractère Personnel sous-traitées

 

En sa qualité de responsable des traitements de Données à Caractère Personnel sous-traitées à la Société, le Client, conformément au Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016, s’engage à ne communiquer à la Société, que des Données à Caractère Personnel collectées de manière transparente, loyale et licite.

 

Il reviendra au Client d’informer, le cas échéant, les personnes concernées sur les droits dont elles disposent et le cas échéant de recueillir leur consentement.

 

Transfert des Données à Caractère Personnel sous-traitées

 

La Société devra s’assurer qu’aucune donnée à caractère personnel traitée pour le compte du Client ne soit transférée vers un pays tiers à l’Union Européenne ou une organisation internationale, à moins que :

  • Le Client ne l’y ait expressément autorisé ; ou que
  • La Société ne soit tenue d’y procéder en vertu du droit de l’Union Européenne ou du droit français, à condition d’informer préalablement le Client de cette obligation juridique, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

 

En toutes hypothèses, la Société ne pourra procéder à un tel transfert qu’à la condition de prévoir des garanties appropriées, au sens du droit des Données à Caractère Personnel, telles que le recours à des clauses contractuelles types adoptées par la Commission européenne ou la CNIL.

 

La présente clause est applicable aux cas de transfert résultant d’une sous-traitance de second rang.

 

Confidentialité

 

La Société s’engage à assurer la confidentialité des Données à Caractère Personnel sous-traitées. Elle veillera également à ce que toutes personnes physiques ou morales autorisées à traiter ces données sur ses instructions, telles que les personnels ou sous-traitants de second rang, s’engagent à en respecter la confidentialité dans les mêmes termes que ceux auxquels la Société est soumise.

 

Sécurité

 

Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités des traitements de Données à Caractère Personnel ainsi que des risques pour les droits et libertés des personnes concernées, la Société s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de leur garantir un niveau de sécurité adapté, en considération notamment du risque de les voir détruites, perdues, altérées, divulguées ou accessibles sans autorisation, conservées ou traitées d’une autre manière.

 

En toutes hypothèses, la Société s’engage au moins à mettre en œuvre :

  • La sensibilisation de ses personnels aux règles de sécurité ;
  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitements de Données à Caractère Personnel ;
  • Des moyens permettant de rétablir la disponibilité des Données à Caractère Personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • Une procédure visant à limiter l’accès aux Données à Caractère Personnel aux seuls personnels habilités et autorisés en raison de leurs fonctions et qualité, dans la mesure strictement nécessaire à la réalisation des traitements de Données à Caractère Personnel autorisés par le Client.

 

En cas de violation avérée ou supposée des Données à Caractère Personnel traitées, la Société devra, dans les meilleurs délais, en faire connaître au Client :

  • Les circonstances ;
  • Le contenu (en particulier les catégories et le nombre approximatif de Données à Caractère Personnel concernées) ;
  • L’ampleur (en particulier les catégories et nombre approximatif de personnes concernées par la violation) ;
  • Les conséquences prévisibles sur les droits et libertés des personnes concernées ;
  • Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations complémentaires pourront être obtenues ; ainsi que
  • Les mesures correctives ou palliatives que la Société propose de prendre pour y remédier.

 

Droits des Personnes Concernées

 

La Société aidera le Client dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont toute personne concernée le saisira, en vue d’exercer les droits qui lui sont reconnus, à savoir, le droit à l’information sur un traitement de Données à Caractère Personnel, le droit d’accès, de rectification, d’effacement, de portabilité de Données à Caractère Personnel ou le droit à la limitation ou à l’opposition à un traitement de Données à Caractère Personnel.

 

Conservation des Données à Caractère Personnel et conséquence du terme du Contrat

 

Les Données à Caractère Personnel sous-traitées sont conservées jusqu’au terme du Contrat.

 

Au terme du Contrat, quelle qu’en soit la cause, la Société s’engage, selon le choix du Client :

  • Soit à procéder, et faire procéder par ses éventuels sous-traitant de second rang, à la suppression complète et irrémédiable des données à caractère personnel traitées ; ou
  • Soit à les restituer au Client sur tout format numérique conforme aux standards de lecture et d’exploitation, sans que ses sous-traitants de second rang, ni elle-même, n’en conservent aucune copie.

 

Assistance

 

La Société communiquera au Client toutes les informations raisonnablement accessibles, permettant d’aider ce dernier à satisfaire à ses obligations en matière de contrôle, auto-évaluation, alerte, fuites de Données à Caractère Personnel, déclaration ou amélioration continue de ses traitements de Données à Caractère Personnel, conformément au Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016.

 

La Société s’imposera la mise en place d’un processus de gestion des incidents de sécurité, incluant : (i) des procédures de signalement des incidents de sécurité auprès du Client et (ii) la sensibilisation de ses intervenants à ces procédures.

 

La Société définira, mettra en œuvre et testera un dispositif de gestion de violations de Données à Caractère Personnel.

 

Il s’engage notamment à notifier au Client toutes violations de Données à Caractère Personnel dans un délai de vingt-quatre (24) heures à compter de sa détection.

 

Il gardera un journal avec la description de l’incident de sécurité et des Données à Caractère Personnel compromises (si connues), les coordonnées du déclarant et de la personne à qui l’incident de sécurité a été communiqué, les mesures prises pour le résoudre (personnes en charge et les Données à Caractère Personnel qui ont pu être récupérées), les éventuelles conséquences (pertes, divulgation, altération, etc.) qui en ont résulté.

 

Information et audit

 

La Société mettra à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations stipulées au présent accord et pour permettre la réalisation d’audits ou d’inspections.