Vie privée

Images

Préambule

Considérant que :

  • Le Droit à la vie privée est un droit fondamental établi par l’Article 12 de la Déclaration Universelle des Droits de l’Homme de 1948,
  • Les libertés des personnes concernées sont soumises aux menaces des technologies et des usages économiques,
  • La conduite de l’activité économique est de plus en plus soumise aux lois et règlements qui encadrent les traitements de données personnelles,
  • Les principes et les règles qui régissent les traitements de données personnelles doivent respecter les libertés et droits fondamentaux des personnes concernées, quelle que soit leur nationalité ou leur lieu de résidence,

Il est établi la présente Déclaration de Confidentialité.

Introduction

Ce document est la Déclaration de Confidentialité de :

The DataInstitute
Editeur de la plateforme D2C SmartBox
Société par Actions Simplifiée au capital de 5 000 €
Immatriculée au RCS de Paris sous le numéro 852 104 561
Siège Social 126, Boulevard Haussmann, 75008 Paris

Cette Déclaration de Confidentialité s’applique à la plateforme D2C SmartBox, notamment :

Elle a pour objet d'exposer aux Usagers :

  • Les données personnelles collectées et les raisons de leur collecte
  • Les traitements effectués sur ces données et les responsabilités associées
  • Les droits conférés aux Usagers, par les réglementations quand elles existent ou par l'éditeur de la plateforme le cas échéant, et la manière de les exercer ;
  • Les dispositions techniques et organisationnelles mises en œuvre par l'éditeur de la plateforme pour protéger les droits des Usagers.

Elle complète :

Données collectées et finalités de la collecte

D2C SmartBox est une plateforme de services aux entreprises et aux administrations. Elle fonctionne selon le principe de la souscription de services contre paiement. Dans le cadre de son fonctionnement, la plateforme collecte trois grandes catégories de données personnelles.

1. Données personnelles de souscription et de connexion

La souscription s’effectue au nom d’une organisation (entreprise ou administration). Elle est réalisée par une personne physique qui a qualité d’administrateur contractuel. Lors de cette souscription, la plateforme collecte :

  • Les données personnelles d’identification (nom, prénom et fonction) et les données de contact (numéro de téléphone et adresse email), qui attestent que la personne physique qui souscrit pour le compte de l’organisation existe bien et que les informations qu’elle a fournies sont valides.
  • Les données personnelles de connexion (adresse email et mot de passe), qui permettront à l’administrateur de contractuel d’accéder à la plateforme pour visualiser les informations contractuelles ou créer des administrateurs fonctionnels.

L’administrateur contractuel crée des administrateurs fonctionnels, qui créent eux-mêmes des administrateurs opérationnels, qui créent enfin des utilisateurs (lecteurs, éditeurs, réviseurs, approbateurs ou superviseurs). Pour chacun de ces profils, la plateforme collecte les données personnelles d’identification, de contact et de connexion.

2. Données personnelles de transaction et d’utilisation

Selon le profil et les services souscrits, l’Usager peut être amené à :

  • Réaliser la planification générale des opérations (études, plans et revues) ou la planification détaillée d’une ou plusieurs opérations
  • Collaborer à la mise en œuvre des opérations :
    • Répondre à une ou plusieurs questions dans le cadre d’une étude
    • Dresser le plan d’actions au terme d’une étude
    • Effectuer la revue d’avancement d’un plan
    • Inviter une autorité de contrôle à se prononcer sur une proposition de plan
    • Etc.

Dans ce cadre, la plateforme collecte des données personnelles relatives aux choix et réponses apportées par la personne concernée. Elle collecte aussi des informations d’utilisation (date de connexion, heure et nature de la transaction).

3. Données personnelles d’assistance

La plateforme collecte enfin des données personnelles lorsque :

  • L’Usager contacte l’Equipe d’assistance technique (nom, prénom, entreprise, adresse email, numéro de téléphone, date de contact, motif de contact, descriptif du cas technique, descriptif de la réponse) ;
  • L’Usager contacte l’Equipe d’assistance commerciale (nom, prénom, entreprise, adresse email, numéro de téléphone, date de contact, motif de contact, descriptif du cas commercial, descriptif de la réponse).

Traitements effectués sur les données personnelles

La plateforme est amenée à réaliser différentes opérations sur les données personnelles, au moyen de procédés automatisés. Ces opérations incluent la collecte, l’enregistrement, l'organisation, la conservation, la modification, la consultation, l'utilisation, la transmission et la destruction.

La plateforme ne prévoit pas d’effectuer d’extraction, de rapprochement ni de profilage des données personnelles collectées.

Dans le cadre des traitements prévus, la plateforme s’efforce de respecter les principes généralement admis en matière de protection des données personnelles et de la vie privée, notamment :

  • La licéité, la loyauté et la transparence : Les traitements mis en œuvre s’effectuent dans le cadre contractuel établi avec l’organisation d’appartenance de l’Usager, dont le présent document fait partie. Toute collecte supplémentaire (enquête, lettre d’information, proposition de nouveaux services, etc.) s’effectue avec le consentement de l’Usager.
  • La limitation des finalités : les traitements sont effectués pour répondre à un ou plusieurs objectifs déterminés dans le contrat d'utilisation accepté par l’organisation d’appartenance de l’Usager. Les données collectées ne sont pas traitées ultérieurement de façon incompatible avec les objectifs contractuels.
  • La minimisation de la collecte des données : seules les données nécessaires à la bonne exécution des objectifs poursuivis sont collectées.
  • La limitation de la durée de conservation des données : les données sont conservées pour une durée limitée. L'Usager est informé des critères utilisés pour déterminer la durée de conservation. Cette obligation s’applique pour la période au cours de laquelle les données collectées sont conservées dans un format identifiable. Elle s’applique également aux cookies utilisés.
  • L’intégrité et la confidentialité des données collectées et traitées : En tant que responsable des traitements mis en œuvre pour fournir les services proposés par la plateforme, l’éditeur garantit l'intégrité et la confidentialité des données collectées, y compris dans les échanges internes à son organisation. Les tiers sous-traitants sollicités ont été sélectionnés sur la base de leurs aptitudes à garantir l’intégrité et la confidentialité des données auxquelles ils ont accès,

Usage de cookies

La plateforme met en œuvre des cookies qui collectent des données personnelles pour :

  • Faciliter l’utilisation : limiter la ressaisie du mot de passe et permettre une authentification rapide, lier les actions effectués au cours d’une session, stocker et gérer les préférences de navigation, etc.
  • Comprendre les comportements des usagers : identifier leur provenance, les pages consultées, l’ordre des clics, les liens cliqués, le temps passé sur une page, etc.

L’Usager ne pourra pas agir sur les cookies « essentiels » au bon fonctionnement de la plateforme. Il pourra en revanche exprimer son consentement préalablement au chargement des cookies non-essentiels.

Identification et obligations des responsables

L’éditeur de la plateforme, The DataInstitute, assure la responsabilité des traitements de données personnelles de la plateforme. A ce titre, il a la charge de :

  • Déterminer les finalités pour lesquelles la plateforme collecte les données personnelles ;
  • Mobiliser les moyens techniques et organisationnels au service des traitements mis en œuvre et de la protection des données personnelles collectées ;
  • Garantir le bon usage, l’exercice et le respect des droits des Usagers ;
  • Notifier les Usagers en cas de rectification ou de suppression de leurs données personnelles, à moins que cela n'entraîne des formalités, coûts et démarches disproportionnés.

Ces moyens incluent le contrôle de la sous-traitance pour :

Les services d’hébergement délivrés par :

Microsoft Privacy, Microsoft Corporation,
One Microsoft Way, Redmond, Washington 98052, États-Unis.
Téléphone : +1 (425) 882 8080.

Microsoft Ireland Operations Limited,
à l'attention du : Délégué à la Protection des Données (Data Protection Officer),
One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irlande.
Téléphone : +353 1 706 3117.

Les services de paiement délivrés par :

Adyen
Data Protection Officer
Simon Carmiggeltstraat 5-60, 1011 DJ Amsterdam, the Netherlands
dpo@adyen.com

Les services d’emailing délivrés par :

Twilio Inc.,
375 Beale Street, Suite 300, San Francisco, CA 94105

Twilio Ireland Limited,
25-28 North Wall Quay, Dublin 1, Ireland

Les services de gestion de consentement aux cookies délivrés par :

CookieFirst by Digital Data Solutions B.V.
Plantage Middenlaan 42a
1018 DH Amsterdam
KvK-number: 75762277
legal@cookiefirst.com

Droits des Usagers et Conditions d’Exercice

L’Usager a le droit de :

  • Consulter, mettre à jour, modifier ou demander la suppression de ses données personnelles collectées par la plateforme ;
  • Demander la portabilité de ses données personnelles ;
  • Demander la limitation ou s'opposer au traitement de ses données par la plateforme, sans que celle-ci ne puisse refuser, sauf à démontrer l'existence de motifs légitimes et impérieux, pouvant prévaloir sur les intérêts et les droits et libertés de l'Usager ;
  • Saisir une autorité compétente s’il estime que la plateforme porte atteinte à ses droits ;
  • Gérer ses préférences relatives à l’utilisation des cookies.

Pour exercer ses droits, l’Usager peut solliciter :

  • The DataInstitute
    • Par email à : dpo@d2csmartbox.com
    • Par courrier à : The DataInstitute, A l’attention du Data Protection Officer, 126, Boulevard Haussmann, 75008 Paris
  • L’Autorité compétente du siège de The DataInstitute, le cas échéant.

Dispositions techniques et organisationnelles

Les données collectées par la plateforme sont en majorité non-sensibles, parce que leur diffusion ou leur accès non autorisé a un impact négligeable sur les personnes concernées ou leur organisation d'appartenance. Il peut s'agir de :

  • Données publiques telles que les nom et prénom de l'Usager
  • Données à usage interne (à l’organisation de l’Editeur) telles que l'adresse de messagerie professionnelle de l’Usager, l'affectation de l'Usager à une étude, les réponses fournies par l'Usager dans le cadre d'une étude, etc.

La plateforme collecte aussi quelques données sensibles, c’est-à-dire pour lesquelles l’accès non autorisé ou la diffusion a un impact non négligeable sur les personnes concernées. Il peut s’agir de données de connexion (mot de passe), de localisation (lieu de connexion, provenance, etc.), d’identification (adresse IP, etc.), etc.

L’Editeur met en œuvre des dispositions appropriées pour :

  • Organiser la protection de la vie privée et la gestion des risques sur la vie privée
  • Analyser les risques et les impacts de nouveaux traitements sur la vie privée
  • Assurer la mise en œuvre de mesures juridiques pour garantir le respect des principes généralement admis, y compris pour le recueil du consentement ;
  • Assurer la mise en œuvre de mesures de sécurité pour minimiser les données personnelles collectées, mitiger les impacts sur la vie privée, mitiger les sources de risque et réduire les vulnérabilités (logiciels, matériels, canaux informatiques, personnes, etc.).

En outre, la plateforme met en œuvre différents moyens techniques, non-exclusifs aux données personnelles, pour assurer la protection et la sécurité des données, dont :

  • Les certificats numériques destinés à garantir la sécurité de la connexion Internet et la protection des données sensibles qui sont transmises entre deux systèmes ;
  • Des pares-feux pour se protéger contre l’injection de code SQL, l’exécution de scripts de site à site, les attaques d’injection de commande, les requêtes dissimulées, les violations de protocole http, les robots d’indexation et les scanneurs, etc.
  • Etc.

Conditions de Modification de la Déclaration

La présente Déclaration de Confidentialité peut être consultée à tout moment à l'adresse ci-après indiquée : https://www.d2csmartbox.com/privacy.

L'éditeur de la plateforme se réserve le droit de la modifier afin de garantir sa conformité avec le droit en vigueur ou de refléter les changements dans les opérations de la plateforme. Par conséquent, l'Usager est invité à consulter régulièrement cette Déclaration de Confidentialité afin de se tenir informé des derniers changements qui y seront apportés. Toutefois, en cas de modification substantielle de cette Déclaration, l'Usager en sera informé par message défilant sur le site Web.

Il est porté à la connaissance de l'Usager que la dernière mise à jour de la présente Déclaration de Confidentialité est intervenue le : 12 Septembre 2021.

En naviguant sur le site et l’espace Client, l'Usager atteste avoir lu et compris la présente Déclaration de Confidentialité et en accepte les conditions, en ce qui concerne la collecte et le traitement de ses données personnelles.