Politique de confidentialité

1. Qui sommes-nous ?

La présente Charte vous permet de prendre connaissance des engagements en matière de protection des données à caractère personnel de Smart Tribune.

Dans le cadre des traitements de données à caractère personnel évoqués dans le présent document, Smart Tribune (dont le nom légal de l’entité est JCS WEB), société par actions simplifiée située 19 rue du quatre Septembre 75002 Paris, agit en tant que Responsable de traitement.

Smart Tribune étant soucieuse de la protection, du respect et de la confidentialité de vos données personnelles, une adresse email dédiée a été mise en place pour toute demande que vous auriez à ce sujet: rgpd@smart-tribune.com

2. Quelles Données personnelles sont traitées et pour quelles finalités ?

2.1 Le type de données à caractère personnel recueillies

Les Solutions Smart Tribune sont conçues principalement pour les sites d’e-commerce et ne sont donc pas destinées à collecter des données sensibles. En revanche, la Solution dispose d’une zone de saisie libre et peut être amenée à traiter des données sensibles fournies directement par le visiteur. C’est pourquoi Smart Tribune aide ses clients à mettre en place des garde-fous afin de ne collecter que les informations nécessaires.

Smart Tribune collecte et traite tout de même des données à caractère personnel vous concernant et concernant votre utilisation de nos Services. Celles-ci sont présentées ci-dessous, par typologie.

Client : 

• État Civil,
• Données d’identification (nom, prénom, entreprise, coordonnées professionnelles, adresse email, numéro de téléphone….),
• Informations financières, de facturation et paiement (paiement, remboursement),
• Identifiants, logs,
• Toute autre information que vous partagez avec nous dans le contexte de votre relation Client.

Utilisateur de la Solution Smart Tribune : 

• Données relatives aux visiteurs du site web du client (identifiant unique du visiteur, adresse IP, données techniques, données de navigation, etc.) 
• Données relatives aux conversations par chat (contenu de la conversation, nombre de chats, durée, date, réponse à l’enquête de satisfaction le cas échéant),
• Données relatives aux employés des clients utilisant la solution (nom, prénom, alias, nom d’utilisateur, fonction occupée chez le client, données de connexion, logs)
• Toute autre information que vous partagez avec nous dans le contexte de votre utilisation de la Solution

Prospect : 

• État Civil
• Données d’identification (Nom, prénom, emploi, adresse email.…)
• Toute autre information que vous partagez avec nous dans le contexte de votre intérêt pour nos Solutions.

Utilisateur du site Smart Tribune : 

• Cookies strictement nécessaires
• Cookies fonctionnels
• Cookies de performance
• Cookies marketing.
  

2.2 Les finalités du traitement de ces données

Les traitements de données que Smart Tribune met en œuvre ont pour but d’assurer les finalités suivantes:

• Pour nos Clients : 
  • Fournir les Services demandés dans le cadre du contrat d’Abonnement (créer, paramétrer et maintenir vos Solutions Smart Tribune).
  • Vous assister dans votre utilisation des Services.
  • Vous contacter afin de vous inviter à nos webinars, vous tenir informés de nos derniers features et développements, vous envoyer notre newsletter ou d’autres communications d’ordre commercial.
  • Gérer notre relation client avec vous (contrats, factures….)
  • Gérer les impayés, les contentieux et précontentieux, répondre à toute requête des autorités publiques, combattre le blanchiment d’argent ou le financement d’activités terroristes.

  Pour les utilisateurs de la Solution:

  • Pour créer un dossier d’archive à des fins juridiques, et notamment de gestion des contentieux et précontentieux.
  • Pour fournir des services précis, fiables, et de les améliorer.
  • Pour créer de nouveaux services et/ou fonctionnalités;
  • Pour créer de nouveaux services impliquant l’utilisation de modèles d’intelligence artificielle, étant entendu que les Données personnelles pourraient être utilisées pour entraîner le modèle d’intelligence artificielle.

  Pour nos prospects : 

  • Vous contacter pour une démonstration de nos Solutions et vous envoyer des communications d’ordre commercial.
    

  Pour les utilisateur du site Smart Tribune : 

  • Cookies strictement nécessaires : pour s’assurer du bon fonctionnement des Services.
  • Cookies fonctionnels : pour stocker des informations que vous avez déjà inséré dans le Site et personnaliser et optimiser votre expérience sur celui-ci.
  • Cookies de performance : pour nous aider à comprendre comment les Services sont utilisés et pour anonymement reporter cette information.
  • Cookies marketing : pour tracker votre utilisation des Services et nous aider à améliorer votre expérience utilisateur.

 

2.3 Les fondements juridiques de nos traitements

Nous ne mettons en œuvre des traitements de données que si au moins l’une des conditions suivantes est remplie :

• Votre consentement aux opérations de traitement a été recueilli ;
• L’existence de l’intérêt légitime de Smart Tribune, ou de celui d’un tiers, justifie que nous mettions en œuvre le traitement de données à caractère personnel concerné ;
• L’exécution d’un contrat nous lie à vous nécessite que nous mettions en œuvre le traitement de données à caractère personnel concerné ;
• Nous sommes tenus par des obligations légales et réglementaires qui nécessitent la mise en œuvre du traitement de données à caractère personnel concerné.

3. Le partage de vos données avec des tiers

Les données à caractère personnel que nous collectons, de même que celles qui sont recueillies ultérieurement, nous sont destinées en notre qualité de Responsable de traitement. 

En lien avec l’utilisation des Services, certaines de vos Données personnelles peuvent être traitées par des Tiers dans le but de réaliser certaines des opérations de traitement énumérées ci-dessus. Lorsque nous partageons ces données avec des tiers, nous veillons à travailler uniquement avec des entreprises qui protègent et sécurisent vos données personnelles et respectent la loi applicable de la même manière que nous. 

Les catégories de tiers avec lesquels nous sommes susceptibles de partager vos données sont les suivants:

• Au personnel de Smart Tribune (chacun pour ce qui les concerne, les équipes RH, marketing, comptabilité, etc.);
• Nos Sous-traitants, qui peuvent être de deux types:
  • Nos fournisseurs, qui traitent des données personnelles pour notre compte, afin de nous aider à vous fournir les Services et informations que vous avez demandées ou que nous pensons présentent un intérêt pour vous;
  • Nos partenaires et prestataires de services spécialisés, y compris les intégrateurs de systèmes, éditeurs de logiciels et développeurs, afin de leur permettre de vous fournir les Services que vous avez demandés ou qu’ils pensent être d’intérêt pour vous;
• Les agences de crédit et de prévention de la fraude, les organismes et départements gouvernementaux ou tout autre tiers nécessaires pour répondre à nos obligations légales et protéger notre entreprise.

 Si vous souhaitez obtenir plus d’informations sur les conditions de traitement existantes entre Smart Tribune et ses Sous-traitants, vous pouvez vous référer à l’Annexe 1.

 

4. L’hébergement de vos données personnelles

L’hébergement​​ s’effectue sur Amazon Web Services et nous avons également des partenariats avec Microsoft Azure, OVH, WPServeur et Hetzner. Les données sont stockées sur des serveurs situés au sein de l’Union Européenne.

Afin d’exécuter les Services, nous pouvons transférer certaines de vos Données Personnelles à des prestataires de services tiers situés ou utilisant des serveurs situés en dehors de l’Union Européenne (l’“UE”) et de l’Espace Économique Européen (l’“EEE”). Dans ce cas, nous veillons à : 

• Ce qu’ils soient situés dans un pays considéré comme ayant un niveau de protection adéquat par la Commission Européenne en matière de protection des données personnelles ou,
• S’ils sont situés aux États-Unis ou dans un autre pays hors EEE, à ce qu’ils respectent des dispositions contractuelles garantissant un niveau de protection équivalent (telles que les clauses contractuelles types établies par la Commission Européenne).

5. Les durées de conservation des données

Les durées de conservation que nous appliquons à vos données à caractère personnel sont proportionnées aux finalités pour lesquelles elles ont été collectées. En conséquence, nous organisons notre politique de conservation des données de la manière suivante :

• Pour les clients et fournisseurs : prescriptions légales de 5 ans augmentées de la durée du Contrat
• Documents comptables : 10 ans
• Pour les prospects : 3 ans à compter du dernier échange
• Cookies : 13 mois à compter de l’acceptation
• Newsletters : jusqu’à désinscription
• Pour les webinars : pour la durée de l’organisation du webinar + 3 ans
• Pour les candidats : 2 ans après le refus de la candidature
• Durée nécessaire pour assurer les obligations légales ou réglementaires auxquelles Smart Tribune serait soumise

 

6. Vos droits et leurs modalités d’exercice

Les droits qui vous sont reconnus sont présentés ci-après. Pour toute question concernant vos données personnelles ou pour exercer l’un de vos droits, vous pouvez nous contacter directement par email à rgpd@smart-tribune.com, ou par courrier à l’adresse suivante :  

Smart Tribune, 19 rue du quatre septembre, 75002 Paris

Pour ce faire et conformément aux réglementations applicables, vous devez indiquer clairement vos nom(s) et prénom(s), l’adresse à laquelle vous souhaitez que la réponse vous soit envoyée et y joindre la photocopie d’un titre d’identité portant votre signature.

Par principe, vous pouvez exercer sans frais l’ensemble de vos droits. En matière de droit d’accès, il pourrait toutefois vous être demandé le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie des données que vous demanderez. 

 

Votre droit d’information

Concernant le droit d’information, Smart Tribune n’aura pas l’obligation d’y donner suite lorsque vous disposez déjà des informations dont vous sollicitez la communication. Vous serez quoiqu’il arrive informés par retour de mail ou par courrier postal dans le cas où Smart Tribune ne pourrait donner suite à vos demandes.

Smart Tribune tient à vous informer que le non-renseignement ou la modification de vos données sont susceptibles d’avoir des conséquences dans le traitement de certaines demandes dans le cadre de l’exécution des relations contractuelles et que votre demande au titre de l’exercice de vos droits sera conservée à des fins de suivi.

Vous reconnaissez que la présente notice d’information vous informe des finalités, du cadre légal, des intérêts, des destinataires ou catégories de destinataires avec lesquels sont partagées vos données personnelles, et de la possibilité d’un transfert de données vers un pays tiers ou à une organisation internationale.

Si nous décidons de traiter des données pour des finalités autres que celles indiquées, toutes les informations relatives à ces nouvelles finalités vous seront communiquées.

 

Votre droit d’accès et à la rectification de vos données

Vous disposez du droit d’accéder et de faire rectifier vos données personnelles. 

A ce titre, vous avez la confirmation que vos données personnelles sont ou ne sont pas traitées et lorsqu’elles le sont, et disposez de l’accès à vos données ainsi qu’aux informations concernant:

• Les finalités du traitement ;
• Les catégories de données personnelles concernées ;
• Les destinataires ou catégories de destinataires ainsi que les organisations internationales auxquels les données personnelles ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ;
• Lorsque cela est possible, la durée de conservation des données personnelles envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
• L’existence du droit de demander au responsable du traitement la rectification ou l’effacement de vos données personnelles, du droit de demander une limitation du traitement de vos données personnelles, du droit de vous opposer à ce traitement ;
• Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
• Des informations relatives à la source des données quand elles ne sont pas collectées directement auprès des personnes concernées ;
• L’existence d’une prise de décision automatisée, y compris de profilage, et dans ce dernier cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour les personnes concernées.

 

Vous pouvez nous demander que vos données personnelles soient, selon les cas, rectifiées, complétées si elles sont inexactes, incomplètes, équivoques, périmées.

 

Votre droit à l’effacement de vos données

Vous pouvez nous demander l’effacement de vos données personnelles lorsque l’un des motifs suivants s’applique :

• Les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
• Vous retirez le consentement préalablement donné ;
• vous vous opposez au traitement de vos données personnelles lorsqu’il n’existe pas de motif légal audit traitement ;
• Le traitement de données personnelles n’est pas conforme aux dispositions de la législation et de la réglementation applicable ;
• Vos données personnelles ont été collectées dans le cadre de l’offre de services de la société de l’information aux enfants âgés de moins de 16 ans.

Néanmoins, l’exercice de ce droit ne sera pas possible lorsque la conservation de vos données personnelles est nécessaire au regard de la législation ou de la réglementation et notamment par exemple pour la constatation, l’exercice ou la défense de droits en justice.

 

Votre droit à la limitation des traitements de données

Vous pouvez demander la limitation du traitement de vos données personnelles dans les cas prévus par la législation et la réglementation.

 

Votre droit de vous opposer aux traitements de données

Vous avez le droit de vous opposer à un traitement de données personnelles vous concernant lorsque le traitement est fondé sur l’intérêt légitime du responsable du traitement ou lorsque le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.

 

Votre droit à la portabilité de vos données

Depuis le 25 mai 2018, vous disposez du droit à la portabilité de vos données personnelles. Les données sur lesquelles peut s’exercer ce droit sont les suivantes:

• Uniquement vos données personnelles, ce qui exclut les données personnelles anonymisées ou les données qui ne vous concernent pas ;
• Les données personnelles déclaratives ainsi que les données personnelles de fonctionnement évoquées précédemment ;
• Les données personnelles qui ne portent pas atteinte aux droits et libertés de tiers telles que celles protégées par le secret des affaires.

Ce droit est limité aux traitements basés sur le consentement ou sur un contrat ainsi qu’aux données personnelles que vous avez personnellement générées. Il n’inclut ni les données dérivées ni les données inférées, qui sont des données personnelles créées par Smart Tribune.

 

Votre droit de retirer votre consentement

Lorsque les traitements de données que nous mettons en œuvre sont fondés sur votre consentement, vous pouvez le retirer à n’importe quel moment. Nous cessons alors de traiter vos données à caractère personnel sans que les opérations antérieures pour lesquelles vous aviez consenti ne soient remises en cause.

 

Votre droit d’introduire un recours

Vous avez le droit d’introduire une réclamation auprès de la Cnil sur le territoire français et ce sans préjudice de tout autre recours administratif ou juridictionnel.

 

Votre droit de définir des directives post-mortem

Vous avez la possibilité de définir des directives relatives à la conservation, à l’effacement et à la communication de vos données personnelles après votre décès et ce auprès d’un tiers de confiance, certifié et chargé de faire respecter la volonté du défunt, conformément aux exigences du cadre juridique applicable.

 

CONCLUSION

🤝Pour résumer, vos Données à caractère personnel nous sont communiquées afin de :

• Pouvoir souscrire à l’une des solutions de Smart Tribune,
• Vous fournir les Services demandés dans le cadre du contrat d’Abonnement (créer, paramétrer et maintenir vos Solutions Smart Tribune),
• Vous assister dans votre utilisation des Services,
• Vous inviter à nos webinars et autres types d’évènements clients,
• Vous contacter afin de vous tenir informés de nos derniers features et développements,
• Vous envoyer notre newsletter ainsi que d’autres communications d’ordre commercial,
• Gérer notre relation client avec vous (contrats, factures….).

 

Dans ce contexte, si vous refusez de nous transmettre vos données à caractère personnel, nous vous informons que ce refus aura pour conséquences l’impossibilité de réaliser et fournir la Solution (prestation) de Smart Tribune, de participer au webinar et de recevoir la newsletter.

 

Annexe 1: Accord sur la protection des Données personnelles

 

Préambule
La présente Annexe s’applique au traitement de données à caractère personnel réalisé par Smart Tribune et le Sous-traitant dans la cadre de mise à disposition par Smart Tribune d’un service de selfcare en SaaS. Le présent document constitue un document indépendant visant à définir les obligations respectives des Parties afin d’assurer le respect de la législation en vigueur en termes de traitement de données personnelles et de respect de la vie privée.

1. Objet

La présente annexe a pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer pour le compte du Responsable de traitement (Smart Tribune) les opérations de traitement de données à caractère personnel définies ci-après et les obligations du Sous-traitant dans ce cadre.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable depuis le 25 mai 2018 (ci-après, « le règlement européen sur la protection des données” ou “RGPD »).

2. Description du traitement faisant l’objet de la sous-traitance

Le Sous-traitant est amené à traiter, pour le compte du Responsable de traitement, les données à caractère personnel nécessaires afin de fournir la ou les Solution(s) commandée(s) par le Client (services de selfcare).

> Nature des traitements

Les natures des opérations réalisées sur les données sont notamment les suivantes : collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, consultation, anonymisation, cryptage.

> La finalité des traitements

La ou les finalité(s) du traitement sont: la conception de la Solution par le Sous-traitant pour le Client.

> Catégorie de personnes concernées

Les catégories de personnes concernées sont:

• Personnel autorisé du Responsable de traitement. Est entendu par personnel autorisé, les salariés du Responsable de traitement ainsi que toute personne physique mandatée par le Responsable de traitement pour utiliser la solution ou pour assurer la mise en œuvre de la relation commerciale avec le Sous-traitant (achat, facturation, gestion de projet, etc…)
• Les Utilisateurs Finaux (c’est à dire des sites internet du Client utilisant la Solution/application)

> Type de données à caractère personnel

Les données à caractère personnel traitées sont:

• Pour le personnel du Responsable de traitement: 
  • État Civil,
  • Données d’identification (nom, prénom, entreprise, coordonnées professionnelles, adresse email, numéro de téléphone….),
  • Identifiants, logs,
  • Toute autre information partagée avec nous dans le contexte de la relation Client.

 

• Pour les utilisateurs: 

• Données relatives aux visiteurs du site web du client (identifiant unique du visiteur, adresse IP, données techniques, données de navigation, etc.) 
• Données relatives aux conversations par chat (contenu de la conversation, nombre de chats, durée, date, réponse à l’enquête de satisfaction le cas échéant),
• Données relatives aux employés des clients utilisant la solution (nom, prénom, alias, nom d’utilisateur, fonction occupée chez le client, données de connexion, logs)
• Toute autre information partagée avec nous dans le contexte de votre utilisation de la Solution

 

Pour l’exécution du service objet du présent contrat, le Responsable de traitement met à la disposition du Sous-traitant les informations nécessaires figurant aux conditions particulières.

> Durée du traitement

Sauf disposition contraire convenue entre les Parties, la Durée du traitement dépend de la réalisation de la Prestation du Smart Tribune (durée d’Abonnement incluse).

3. Obligations du Sous-traitant vis-à-vis du Responsable de traitement

Le Sous-traitant s’engage à :

1. Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance.
2. Traiter et héberger pendant toute la durée du Contrat, et dans la mesure du possible, les Données personnelles au sein de data centers situés dans l’Union Européenne.
3. Traiter les données conformément aux instructions données par le Responsable de traitement figurant en annexe du présent contrat. 
   1. Si le Sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relatives à la protection des données, il en informe immédiatement le Responsable de traitement.
   2. En outre, si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public
4. Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent Contrat notamment, le Sous-traitant procèdera autant que possible à l’anonymisation et au cryptage des données éventuellement fournies par les utilisateurs qui n’auraient pas déjà été anonymisées par le Responsable de traitement.
5. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent Contrat s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
6. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
7. Fournir au Client l’assistance et les informations nécessaires à la réalisation d’une analyse d’impact relative à la protection des données si elle s’avère nécessaire.
8. Sous-traitance: le Sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le Sous-traitant ultérieur ») pour mener des activités de traitement spécifiques.

Le Sous-traitant restera en tout état de cause seul responsable vis-à-vis du Responsable de traitement, de l’ensemble des obligations résultant de la présente Annexe. 

Il appartient au Sous-traitant de s’assurer que le Sous-traitant ultérieur présente des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le Responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

Le sous traitement demeure libre de modifier sa liste ci-dessus mais il doit cependant informer préalablement et par écrit le Responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant ultérieur. 

Le Responsable de traitement dispose d’un délai minimum de 8 (huit) jours calendaires à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le Responsable de traitement n’a pas émis d’objection pendant le délai convenu.

 4. Obligations du Sous-traitant 

Le Sous-traitant s’engage à respecter la Réglementation et veille de manière générale à ce que les Données :

• Soient traitées de manière licite, loyale et transparente. 
• Soient collectées pour des Finalités déterminées, explicites et légitimes
• Soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des Finalités poursuivies. Le Sous-traitant s’engage par conséquent à anonymiser ou “pseudonymiser” autant que possible les Données dans le cadre du Contrat.
• Ne soient conservées, sous une forme permettant l’identification des Personnes concernées, que pendant une durée n’excédant pas celle nécessaire au regard des Finalités poursuivies. Plus particulièrement, Le Sous-traitant s’engage à fournir au Sous-traitant ultérieur, et à maintenir à jour pendant toute la durée du Contrat, toute information et instruction écrite nécessaire à la réalisation des Traitements (notamment une description précise des Finalités, des durées de conservation associées, du type de Données à traiter, des catégories de Personnes concernées).
• À obtenir lorsque cela s’applique le consentement des personnes concernées pour le traitement de leur données et les informer de leur droit ainsi que du fait que le Sous-traitant s’engage par ailleurs selon le secteur d’activité dans lequel il évolue, en particulier lorsqu’il s’agit d’un secteur réglementé et/ou lorsque les Prestations portent ou mettent en œuvre des Données particulières au sens du RGPD (telles que des Données de santé, des Données de mineurs), à alerter le sous-traitant ultérieur des règles spécifiques qui lui sont applicables en matière de protection et de sécurisation desdites Données et à lui communiquer toutes instructions écrites et documentation utiles à cet effet. Il en va de même si le Sous-traitant ultérieur est une administration, un établissement public, une organisation ou autre personne morale de droit public ou assimilée.

Le Sous-traitant s’engage en outre à établir et mettre à jour, si besoin, une analyse d’impact relative à la protection des données, conformément aux instructions de la CNIL, et à la transmettre au Sous-Traitant ultérieur si celui-ci la demande.

Par ailleurs, si le Sous-traitant met en œuvre un chatbot, il s’engage à insérer de manière claire et concise sur la page d’accueil du chatbot, une mise en garde destinée à restreindre l’inscription de Données sensibles de la part des utilisateurs.

5. Mesures de sécurité

Le Sous-traitant s’engage à assurer la sécurité des données à caractère personnel, et à veiller à leur intégrité et confidentialité. 

À ce titre, il s’engage à concevoir et mettre en œuvre toutes mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque, y compris, entre autres la pseudonymisation et le chiffrement des données à caractère personnel les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique; une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

6. Droit d’information des personnes concernées

Il appartient au Responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

 7. Exercice des droits des personnes

Il est rappelé que les personnes concernées sont libres d’exercer les droits qui leur sont conférés à l’égard de et à l’encontre du Responsable de Traitement. Les Parties s’engagent à coopérer entre elles afin de permettre le traitement rapide et efficace de toute demande et d’être en mesure de répondre à la personne concernée dans le délai légal d’un (1) mois à compter de la réception de la demande.

Dans la mesure du possible, le Sous-traitant doit aider le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées (présentées en article 6 ci-dessus).

Lorsque les personnes concernées exercent auprès du Sous-traitant des demandes d’exercice de leurs droits, et qu’elle vise uniquement un traitement réalisé pour le compte du Responsable de traitement, celui-ci s’engage à adresser ces demandes dès réception par courrier électronique à rgpd@smart-tribune.com.

Lorsque la demande est formulée auprès du Responsable de traitement et dans l’hypothèse où ce dernier ne peut y donner suite sans le concours du Sous-traitant, le Responsable de traitement s’engage à solliciter le point de contact du Sous-traitant dans les plus brefs délais.

Lorsque la demande est formulée auprès du Sous-traitant et qu’elle ne vise pas particulièrement un traitement réalisé pour le compte du Responsable de traitement, le Sous-traitant peut répondre directement à la personne concernée sans avoir besoin d’en informer le Responsable de traitement.

8. Notification des violations de données à caractère personnel

Le Sous-traitant notifie au Responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance et dans les conditions de forme et de contenu requis par le RGPD et ce afin de permettre au Responsable de traitement de notifier cette violation à l’autorité de contrôle compétente. Le Responsable de traitement à la charge d’informer les personnes concernées dans les meilleurs délais.

 9. Sort des données

Au terme de l’Abonnement, le Sous-traitant s’engage à, au choix des Parties :

• Détruire toutes les données à caractère personnel, ou

• Renvoyer toutes les données à caractère personnel au Responsable de traitement, ou
• Renvoyer les données à caractère personnel au sous-traitant désigné par le Responsable de traitement.

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du Sous-traitant. 

Dans l’hypothèse où le droit communautaire ou le droit d’un Etat membre exigerait la conservation de données à caractère personnel, le Sous-traitant informe le Responsable de traitement de cette obligation. 

Le Sous-traitant s’engage à fournir, à la demande du Responsable de traitement, une attestation de la destruction.

10. Tenue du registre

Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de traitement comprenant : le nom et les coordonnées du Responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données; les catégories de traitements effectués pour le compte du Responsable du traitement; le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées.

11. Documentation et audit

Le sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations. 

Le Responsable de traitement conserve le droit de réaliser un audit annuel de la Solution afin de vérifier l’adéquation de mesures techniques et organisationnelles mises en oeuvre par le Sous-traitant, sous réserve de notifier son intention dans un délai raisonnable (qui ne devra pas être inférieur à 10 jours ouvrés), de procéder à un tel audit durant les heures ouvrées du Sous-traitant. 

Les coûts de l’audit sont supportés par le Responsable de traitement et le Sous-traitant facturera au Responsable de traitement les éventuelles ressources humaines et machines sollicitées lors de l’audit par Responsable de traitement. 

Les résultats de ces audits seront sujet à une obligation de confidentialité à la charge des deux Parties.