Politique d’utilisation des données à caractère personnel
Les expressions qui commencent par une lettre majuscule et qui ne sont pas définies dans la présente Annexe ont le sens qui leur est donné dans les Conditions Générales. Les termes « Règles d’entreprise contraignantes », « Responsable du traitement », « Données », « Personne concernée », « Violation de données », « Traitement », « Sous-traitant » et « Autorité de contrôle » ont le sens qui leur est donné par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »).
La présente politique s’applique au traitement des données à caractère personnel au sens du RGPD (les « Données Personnelles ») tel qu’il est réalisé par Avenir Télématique en qualité de Responsable de traitement (ci-après « nous » ou « ATE »). Les conditions des traitements réalisés par ATE en qualité de sous-traitant, notamment sur instructions de ses clients sont détaillées dans l’Annexe des Conditions Générales intitulé « Annexe relative au traitement des Données Personnelles en qualité de Sous-traitant ».
1. Description des traitements et finalité
Nous traitons les Données Personnelles de nos clients, fournisseurs et candidats pour deux finalités essentielles : la gestion de l’entreprise et le marketing.
Ces deux grands objectifs se déclinent en divers sous-objectifs spécifiques. Le RGPD repose sur plusieurs principes pour le traitement des données personnelles. Outre le principe de consentement, nous nous appuyons sur trois autres principes pour les divers sous-objectifs, à savoir : la nécessité de conclure ou d’exécuter le contrat, la nécessité de respecter une obligation légale et la nécessité de respecter un intérêt légitime.
1.1. Principe : le consentement
- L’envoi d’une newsletter ;
- La proposition de contenus (plus) pertinents – par courriel sur la base des contenus téléchargés – aux clients et aux personnes intéressées par les services d’ATE. Notre service commercial peut également approcher ces personnes pour leur fournir des informations plus détaillées sur nos services ;
- L’envoi et la lecture de cookies de suivi et des techniques similaires via le(s) site(s) web.
1.2. Principe : nécessité d’un contrat
- La conclusion d’un contrat ;
- La fourniture du service, y compris la réponse au besoin du client et à son désir de personnaliser le service ;
- La gestion des services et de l’infrastructure (en ce compris leurs sécurité et continuité) ;
- L’exécution des réparations (nécessaires) ;
- L’application des mesures de sécurité, tant numériques qu’analogiques ;
- La communication avec les clients existants, y compris l’envoi de messages de service et la communication à des fins commerciales ;
- La détection ou la prévention des dommages ou de la fraude.
1.3. Principe : obligation légale
- Le respect des lois et règlements, y compris, le cas échéant, le respect des demandes légitimes des autorités chargées d’enquêtes ;
- Le traitement des litiges ;
- La mise en oeuvre de vérifications, y compris financières.
1.4. Principe : nécessité d’un intérêt justifié
- La gestion du fichier de clients, qui comprend aussi les données des clients potentiels et des anciens clients ;
- Les études de marché (ou la commande d’une telle étude) ;
- Le développement de produits et de services, y compris la définition d’une stratégie ;
- L’élaboration d’offres ciblées aux clients existants ;
- Le suivi de l’utilisation de notre/nos site(s) Web, ainsi que son/leur analyse, maintenance, optimisation et sécurisation. Cette optimisation comprend également le recours à des techniques permettant de mémoriser les données du visiteur, pour le dispenser de saisir les mêmes données à plusieurs reprises lors du téléchargement de contenu. Le visiteur doit toutefois avoir autorisé au préalable l’installation ou la lecture de cookies de suivi sur son système ;
- Les données personnelles pourront ainsi être combinées, par exemple avec d’autres données collectées dans le cadre de l’utilisation de nos produits ou services (et/ou des produits ou services d’autres sociétés du groupe). Ces informations nous permettent de créer des profils de clients à l’exclusion de toute autre finalité et, de ce fait, mieux servir chacun d’entre eux et adapter nos produits et services à leurs souhaits et besoins.
Nous ne traitons les données personnelles (des collaborateurs) des fournisseurs que dans la mesure où cela se révèle nécessaire à la conduite des activités et uniquement pour les besoins de la bonne exécution du contrat qui nous lie auxdits fournisseurs, ou en raison de notre intérêt justifié lors de la cessation d’une relation dans le cadre d’une disqualification.
1.5. Durée de stockage
Nous ne conservons pas les données plus longtemps que ne le nécessitent les objectifs légitimes pour lesquels nous les traitons. Ceci comprend le respect des impératifs de conservation légaux et fiscaux. Pour déterminer toutes les durées de conservation, nous avons tenu compte de la nature des données personnelles (sensibles ou rapidement obsolètes), de leur finalité (ponctuelle ou structurelle), de la finalité pour laquelle nous avons recueilli ces données et des durées de conservation que les clients ou fournisseurs peuvent raisonnablement souhaiter.
2. Conditions de réalisation des traitements des Données Personnelles
2.1. Obligations d’ATE
Dans le cadre des traitements décrits dans la présente politique, ATE se conforme, en qualité de Responsable du traitement, à la réglementation en vigueur, notamment au RGPD ainsi que toute décision législative ou réglementaire des États membres de l’Union européenne qui trouverait à s’appliquer auxdits traitements, comme la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés telle que modifiée par l’Ordonnance n°2019-964 du 18 septembre 2019 en France.
À ce titre, ATE s’engage notamment à :
- Ne collecter que des Données Personnelles nécessaires dans le cadre des finalités suscitées ;
- Mettre en oeuvre des processus de nature à s’assurer de l’exactitude et de la mise à jour des données utilisées dans le cadre desdits traitements, ainsi que de leur effacement lorsqu’elles ne sont plus nécessaires aux finalités poursuivies ;
- Ne pas traiter les Données Personnelles en sa possession pour d’autres finalités que celles mentionnées dans le cadre de la présente politique, sauf à obtenir le consentement des personnes concernées, ou à les en informer concernant les traitements fondés sur d’autres bases légales que le consentement ;
- Documenter les traitements réalisés au sein d’un registre et procéder à toutes les analyses d’impact nécessaires ;
- Mettre un place un processus de gestion des incidents et des violations de données, notifier les autorités de protection compétentes dans les conditions de l’article 33 du RGPD, et informer les personnes concernées, conformément à l’article 34 du RGPD lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés ;
- Mettre en place des mesures techniques et organisationnelles de nature à protéger les Données Personnelles contre les risques de sécurité.
2.2. Mesures techniques et organisationnelles de sécurité
ATE s’engage à mettre en place les mesures techniques et organisationnelles suivantes :
- des mesures de sécurité́ physique visant à empêcher l’accès aux infrastructures sur lesquelles sont stockées les données du Client par des personnes non autorisées ;
- des contrôles d’identité́ et d’accès via un système d’authentification ainsi qu’une politique de mots de passe ;
- un système de gestion des habilitations permettant de limiter l’accès aux locaux aux seules personnes ayant besoin d’y accéder dans le cadre de leurs fonctions et de leur périmètre d’activité́ ;
- un dispositif de sécurité́ chargé de veiller à la sécurité́ physique des locaux d’ATE ;
- un système d’isolation physique et logique des Clients entre eux ;
- des processus d’authentification des utilisateurs et administrateurs, ainsi que des mesures de protection des fonctions d’administration ;
- dans le cadre d’opérations de support et de maintenance, un système de gestion des habilitations mettant en oeuvre les principes du moindre privilège et du besoin d’en connaître ;
- des processus et dispositifs permettant de tracer l’ensemble des actions réalisées sur son système d’information, et d’effectuer conformément à la réglementation en vigueur, des actions de reporting en cas d’Incident impactant les données du Client ;
- le respect d’une obligation de confidentialité par les employés d’ATE autorisés à traiter les Données Personnelles dans le cadre du Contrat et des formations appropriées concernant la protection des Données Personnelles.
2.3. Sous-traitance
Nous pouvons également faire participer des tiers à l’exécution de nos activités et de nos activités de marketing. Nous avons conclu des accords de sous-traitance avec ces organisations. Ces sous- traitants ne peuvent traiter les données personnelles qu’à notre demande et sous notre contrôle, uniquement aux fins que nous déterminons et dans le respect de la plus stricte confidentialité.
Lorsque nous faisons appel à des sous-traitants situés en dehors de l’Espace économique européen (EEE) ou à des sous-traitants utilisant à leur tour des sous-traitants situés en dehors de l’EEE, nous prenons les mesures de protection appropriées visées à l’article 46 du RGPD, telles que l’utilisation de clauses types de protection des données approuvées par la Commission européenne (les Standard Contractual Clauses).
2.4. Transferts de données en dehors de l’Union européenne
ATE s’attache à limiter les transferts de Données Personnelles en dehors de l’Union européenne.
Lorsque les Données Personnelles sont transférées vers des pays tiers à l’Union Européenne ne bénéficiant pas de décision d’adéquation de la Commission européenne adoptée conformément à l’article 25 de la directive 95/46/CE ou à l’article 45 du RGPD, ATE s’assure que des garanties appropriées telles que prévues à l’article 46 du RGPD sont mises en place.
2.5. Traitements des demandes des autorités
En cas de demande provenant d’autorités judiciaires, administratives ou autres, visant à obtenir communication de Données Personnelles traitées par ATE, ATE fera ses meilleurs efforts pour (i) ne répondre qu’aux autorités et demandes qui ne sont pas manifestement incompétentes ou non-valablement formées, (ii) limiter la communication aux seules Données Personnelles requises par l’autorité et (iii) informer au préalable la personne concernée (sauf si cela est interdit par les dispositions législatives ou réglementaires applicables).
2.6. Droits des personnes concernées
Les personnes concernées (clients, fournisseurs, candidats, etc.) peuvent exercer leur droit à la vie privée à notre égard, conformément aux articles 15 à 22 du RGPD. Il peut s’agir, par exemple, d’une demande d’accès aux données personnelles les concernant. Suite à une demande d’accès aux données personnelles, certaines de ces données peuvent se révéler incorrectes ou incomplètes. Nous corrigeons ou complétons sur demande les données erronées ou incomplètes.
Les personnes concernées peuvent également nous demander de supprimer des données, de limiter le traitement ou (si ce traitement repose sur un consentement donné ou un contrat) de transférer leurs données (portabilité des données). Nous nous conformerons à ces demandes si aucune obligation légale ou autre motif raisonnable ne nous contraint à conserver les données. Les personnes concernées peuvent toujours s’opposer au traitement de leurs données personnelles à des fins de marketing et retirer leur consentement.
Pour toute demande d’informations relatives aux Données Personnelles ainsi que pour toute demande d’exercice de droits par les personnes concernées ou notification de violation de sécurité, merci de nous contacter par courriel à privacy@ate.info ou, par courrier, avec la mention « Données Personnelles », adressé à l’adresse du siège social d’ATE.
Vous pouvez également déposer une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité de contrôle en charge du respect des obligations en matière de Données Personnelles en France.
3. Modification de la politique
Nous sommes susceptibles de modifier la présente Politique d’utilisation des Données Personnelles. En pareil cas, nous annoncerons ce changement sur notre site Web ou par tout autre moyen. Si nous souhaitons modifier substantiellement les finalités du traitement, et que ce traitement est soumis à votre consentement, nous vous demanderons d’abord de renouveler votre consentement en fonction de ces nouvelles finalités.