Accord de traitement des données

ACCORD DE TRAITEMENT DES DONNEES (DPA)

 

Donnée personnelle : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Traitement :Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Fichier : Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Responsable de traitement : La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.

Sous-traitant : La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Destinataire : La personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers.

SEMIOLOGIC a nommé un Data Protection Officer qui tient un registre de traitement des données, et que l’Editeur a la possibilité de contacter via dpo@semiologic.fr en cas de questions par rapport à cette politique de confidentialité ou par rapport à l’utilisation générale des Données.

ARTICLE 1. TRAITEMENT DES DONNEES COLLECTEES PAR SEMIOLOGIC

  • Le responsable de traitement

Le responsable de traitement est SEMIOLOGIC, 67 cours Mirabeau – 13100 Aix en Provence représentée par M. David DJIAN.

  • Les données collectées

Conformément à son obligation de sécurité, SEMIOLOGIC s’engage à assurer la confidentialité des données personnelles. SEMIOLOGIC met en œuvre les moyens techniques afin d’assurer cette sécurité et d’éviter toute destruction, tout détournement, tout vol ou toute consultation par un tiers des données personnelles.

L’Editeur est informé que SEMIOLOGIC, en tant que responsable de traitement, met en œuvre des traitements de données personnelles concernant les interlocuteurs, personnes physiques au sein de l’Editeur.

L’Editeur est informé, sur tout formulaire de collecte de données à caractère personnel, du caractère obligatoire ou facultatif des réponses par la présence d’un astérisque (*). A défaut de renseignement des informations ayant un caractère obligatoire, la demande ne pourra pas être traitée.

Les données collectées sont les noms et prénoms, coordonnées des interlocuteurs – contacts au sein de l’Editeur. La base légale du traitement est le contrat.

Afin d’assurer le paiement de nos prestations, les données bancaires relatives au moyen de paiement utilisé par l’Editeur sont collectées. La base légale du traitement est le contrat.

L’adresse email est collectée afin de vous adresser des newsletters et offres promotionnelles.

Les données personnelles sont hébergées en France.

Les destinataires des données personnelles sont SEMIOLOGIC, et ses sous-traitants : hébergeur, comptable, prestataire bancaire, avocat, commissaire aux comptes.

Les personnes physiques qui sont des interlocuteurs ou utilisateurs au sein de l’Editeur dont les données personnelles sont traitées par SEMIOLOGIC disposent d’un droit d’accès aux données les concernant, du droit de voir leurs données rectifiées, complétées, mises à jour, verrouillées ou effacées, sur demande et dans le respect des conditions légales.

Elles disposent aussi du droit à la limitation de leurs données personnelles, à la portabilité ainsi qu’au droit de définir leurs directives quant au sort de leurs données personnelles en cas de décès (conservation, effacement, communication de leurs données personnelles).

Elles disposent aussi du droit d’opposition pour motif légitime et/ou de retirer leur consentement à tout moment sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci.

Pour exercer l’un de ses droits, les personnes physiques concernées, pourront adresser leur demande :

  • Soit par courrier : 67 cours Mirabeau – 13100 Aix en Provence
  • Soit par courrier électronique : dpo@semiologic.fr

 

SEMIOLOGIC adressera une réponse dans un délai d’UN (1) mois à compter de la date de réception de la demande. Ce délai pourra être prolongé de DEUX (2) mois compte tenu de la complexité et du nombre de demandes. SEMIOLOGIC en informera la personne concernée dans le délai d’UN (1) mois suivant la réception de la demande.

En cas de réponse non satisfaisante, la personne concernée dispose du droit d’introduire une réclamation auprès de la CNIL, autorité de contrôle compétente (www.cnil.fr).

Concernant les mails commerciaux/newsletters, le désabonnement est possible à tout moment en cliquant sur le lien hypertexte disponible dans chacun des mails adressés par SEMIOLOGIC.

Les données concernant l’envoi de mails promotionnels sont conservées pendant une durée de TROIS (3) ans à compter de votre dernière activité sur le site web de SEMIOLOGIC y compris l’envoi d’un courrier électronique.

Les données sont conservées pendant la durée du contrat et font ensuite, l’objet d’un archivage intermédiaire entre 5 et 10 ans afin de répondre aux obligations comptables et fiscales (article L.123-22 alinéa 2 du code de commerce) ou légales telles que le délai de 5 ans qui est le délai de prescription applicable aux actions personnelles ou mobilières (article 2224 du code civil) de

En cas de procédure judiciaire, les données personnelles concernant seront conservées afin de permettre à SEMIOLOGIC d’assurer sa défense ou de lui permettre d’établir des faits si SEMIOLOGIC est en demande.

 

ARTICLE 2. TRAITEMENT DES DONNEES PERSONNELLES PAR SEMIOLOGIC EN QUALITE DE SOUS-TRAITANT

2.1. Qualité de sous-traitant de SEMIOLOGIC

Dans le cadre de ces conditions générales de vente, SEMIOLOGIC, le sous-traitant (défini comme sous-traitant du traitement des données au sens de la législation/règlementation visée ci-dessous), effectue, pour le compte de l’éditeur (défini comme responsable de traitement au sens de la législation/règlement visée ci-dessous), les opérations de traitement de données personnelles définies ci-après.

Conformément à l’article 35 de la loi n° 78-17 du 6 janvier 1978 dite loi « Informatique et Libertés », SEMIOLOGIC est un sous-traitant de l’Editeur et ne peut intervenir sur les données que sur instructions de l’Editeur, responsable du traitement.

Au sens de cette Annexe, l’Editeur est le « Responsable de traitement » et SEMIOLOGIC est le « sous-traitant ».

2.2. Description du traitement faisant l’objet de la sous-traitance

SEMIOLOGIC est autorisée à traiter les données personnelles de l’Editeur et des Utilisateurs dans le cadre du présent contrat.

Service

Solution SaaS

Type de données

Adresses e-mail, noms d'utilisateur, image d'avatar, titres de société et autres données spécifiques saisies par le contrôleur dans la plate-forme du processeur

Groupe de personnes concernées

Les abonnés à la solution de discussion, les clients et clients, ainsi que le personnel et les partenaires commerciaux du contrôleur

Étendue, type et finalité de la collecte, du traitement ou de l'utilisation des données

Contrat de service pour la solution système de discussion et les services associés

 

2.3. Obligations du sous-traitant (SEMIOLOGIC)

2.3.1. SEMIOLOGIC s’engage à :

  • Traiter les données uniquement pour la finalité ou les finalités qui fait/font l’objet de la sous-traitance et à ne pas utiliser les données pour son propre compte ou pour le compte d’un tiers ;
  • Traiter les données conformément aux instructions de l’Editeur et aux présentes clauses ;
  • Informer immédiatement l’Editeur si, selon lui, une instruction constitue une violation des textes susvisés ou d’autres dispositions du droit de l’Union ou du droit interne positif relatives à la protection des données ;
  • Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du contrat s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
  • Ne prendre aucune copie des documents et supports d'informations qui lui sont confiés, à l’exception de celles nécessaires à l’exécution du Contrat.
  • Ne pas utiliser les documents et informations traités à des fins autres que celles spécifiées au présent Contrat ;
  • Ne pas divulguer ces documents ou informations à d'autres personnes, qu'il s'agisse de personnes privées ou publiques, physiques ou morales ;
  • Prendre toutes mesures permettant d'éviter toute utilisation détournée ou frauduleuse des fichiers informatiques en cours d'exécution du Contrat ;
  • Prendre toutes mesures de sécurité, notamment matérielle, pour assurer la conservation et l’intégrité des documents et informations traités pendant la durée du présent Contrat ;
  • Prendre en compte, s’agissant des outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;
  • Mettre en œuvre et maintenir en place des mesures techniques et organisationnelles appropriées de manière à ce que le traitement garantisse la protection des droits des personnes concernées et soit conforme aux textes susvisés en prenant, notamment, toutes les mesures de sécurité requises en vertu de l’article 32 du règlement susvisé tout au long de l’exécution du contrat.

2.3.2. Sous-traitance

L’Editeur est informé que SEMIOLOGIC fait appel à des sous-traitants pour proposer sa Solution. Les sous-traitants concernés sont :

 

Iguane Services

Paris (France)

Datacenter

Mailjet

Paris (France)

Emailing solution

 

SEMIOLOGIC pourra faire appel à un autre sous-traitant pour mener des activités de traitement spécifiques. Dans ce cas, SEMIOLOGIC en informera préalablement et par écrit l’Editeur de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. L’Editeur disposera d’un délai de QUINZE (15) jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si l’Editeur n’a pas émis d’objection pendant le délai convenu.

En tout état de cause, tout sous-traitant ultérieur est tenu de respecter les obligations du contrat et de la présente annexe pour le compte de l’Editeur. Il appartient à SEMIOLOGIC de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, SEMIOLOGIC demeure pleinement responsable de l’exécution par l’autre sous-traitant de ses obligations.

2.3.3. Assistance de SEMIOLOGIC

SEMIOLOGIC assistera l’Editeur dans la mesure de ce qui est matériellement possible, à s’acquitter de son obligation de donner suite à toute demande reçue de la part des personnes concernées d’exercer leurs droits ou de l’autorité de contrôle compétente, dans un délai raisonnable. Il est précisé qu’il appartient à l’Editeur de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

L’Editeur devra indiquer dans le cadre de sa politique de confidentialité l’ensemble des informations prévues par l’article 13 du RGPD.

Dans l’hypothèse où SEMIOLOGIC recevrait une demande d’exercice des droits, SEMIOLOGIC s’engage à communiquer cette demande au Client dans un délai maximum de 48h.

SEMIOLOGIC assistera l’Editeur pour garantir le respect de :

  • Ses obligations de sécurité et de confidentialité
  • Ses obligations au titre de la réalisation d’une analyse d’impact des opérations de traitements concernées par la sous-traitance, le cas échéant.

2.3.4. Notification des violations de données personnelles (faille de sécurité)

SEMIOLOGIC notifie à l’Editeur toute violation de données personnelles dans un délai maximum de 72 heures après en avoir pris connaissance et par le moyen suivant : courrier électronique.

Cette notification est accompagnée de toute documentation utile afin de permettre à l’Editeur, si nécessaire, de notifier cette violation à la CNIL.

2.3.5. Mesures de sécurité mise en œuvre par SEMIOLOGIC

SEMIOLOGIC met en œuvre les mesures suivantes :

- La mise à jour et l’application des patchs de sécurité sur les environnements du système d’information,
- La sauvegarde des données de production et la protection des sauvegardes en disponibilité, intégrité et confidentialité.

Les actions sont réalisées par une personne qui possède des compétences en SSI.
Les actions sont suivies par une personne qui possède des compétences en SSI.
Les actions de sécurité sont suivies dans le temps.

Des actions de sécurité de base sont réalisées telles que :

  • La formation et la sensibilisation des équipes opérationnelles aux bonnes pratiques élémentaires de sécurité informatique
  • La mise en place de moyens de restriction d’accès aux informations (gestion des habilitations et l’authentification des utilisateurs)
  • La traçabilité et la protection des accès et actions réalisées par les utilisateurs (Développeurs, exploitants, administrateurs, mainteneurs, …)
  • L’utilisation de mots de passe robustes et conformes aux exigences de la CNIL,
  • La protection en stockage et en transport des certificats et des mots de passe utilisés,
  • Le chiffrement en transport des données stockées et traitées,
  • L’activation et la configuration des pare-feux,
  • Le déploiement et l’activation de mécanismes antiviraux,
  • Cloisonnement logique et physiques des réseaux selon leur exposition et besoins de sécurité,
  • La mise à jour et l’application des patchs de sécurité sur les environnements du système d’information,
  • L’interdiction de solutions vulnérables telles que SMB v1 ou V2, http, MD5, SHA1 ou des solutions non maintenues, dans le cas échéant, la mise en place de mesures de sécurité permettant d’atténuer le risque d’exploitation des vulnérabilités portées par ces solutions,
  • La prise en compte de la sécurité de l’information lors de la sélection des sous-traitants,
  • La prise en compte de la sécurité dans les développements,
  • La réalisation d’exercices de sensibilisation aux risques liés aux phishing.

2.3.6. Sort des données

Au terme de la prestation, SEMIOLOGIC s’engage à anonymiser les données personnelles sans délai la fin du contrat sauf dispositions légales imposant à SEMIOLOGIC de conserver les données.

2.3.7. Tenue d’un registre d’activités

SEMIOLOGIC dispose d’un registre d’activités à jour concernant son activité de sous-traitance.

2.3.8. Obligations du responsable de traitement (l’Editeur)

L’Editeur s’engage à :

  • Documenter par écrit toute instruction concernant le traitement des données par SEMIOLOGIC ;
  • Veiller au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part de SEMIOLOGIC ;
  • Superviser le traitement, y compris en réalisant un audit.

A la demande de l’éditeur, SEMIOLOGIC fournira l’ensemble des documents, données et informations concernant les traitements faisant l’objet de la sous-traitance et sa conformité à la législation sur les données personnelles.