Politique de confidentialité
Version à jour au 01/06/2024.
PRÉAMBULE
Article 1. Parties au présent acte
Entre les soussignés :
1° La Société par actions simplifiée à associé unique H2R au capital de 20 000 Euros, immatriculée au Registre du commerce et des sociétés de Colmar sous le numéro 838 289 437, dont le siège social est situé 10 Grand Rue – 68280 LOGELHEIM.
Ci-après dénommée le « Responsable de traitement »,
D’une part,
Et
2° Toute personne physique
Navigant sur le site internet du Responsable de traitement ;
Ci-après dénommée la « Personne concernée »,
D’autre part,
Il a été exposé et convenu ce qui suit :
Article 2. Objet
La présente Politique de Confidentialité s’applique, sans restriction ni réserve, entre la Personne concernée et le Responsable de traitement.
Elle a pour objet de fournir des informations concernant la manière dont le Responsable de traitement collecte et traite certaines données à caractère personnel relatives à la Personne concernée, conformément à la législation en vigueur et en particulier le Règlement européen n°2016/679 et la loi n°78-17 (ci-après dénommées la « Législation »), en relation avec l’utilisation des sites internet www.henrri.com et www.henrri.net (ci-après dénommés le “Site”) par la Personne concernée.
Article 3. Définitions
⦁ Autorité de contrôle désigne la Commission nationale de l’informatique et des libertés (CNIL), autorité publique indépendante française de régulation de la protection des Données ;
⦁ Compte désigne l’espace personnel de la Personne concernée sur le Site permettant d’accéder au Service et aux Options.
⦁ Consentement désigne toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la Personne concernée accepte, par une déclaration ou par un acte positif clair, que des Données le concernant fassent l’objet d’un Traitement par le Responsable de traitement.
⦁ Cookie désigne un fichier permettant de retracer le parcours de la Personne concernée sur le Site.
⦁ Destinataire désigne toute personne physique ou morale, partenaire, autorité publique, service ou autre organisme qui reçoit communication des Données, qu’il s’agisse ou non d’un Tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication des Données, notamment dans le cadre d’une mission d’enquête, ne sont pas considérées comme des Destinataires au sens de la présente définition.
⦁ Donnée(s) désigne(nt) toute information se rapportant à la Personne concernée.
⦁ DPO désigne le délégué à la protection des données du Responsable de traitement, à savoir le Cabinet Bouchara – Avocats (17 rue du colisée – 75008 Paris, info@cabinetbouchara.com), en charge d’accompagner la Personne concernée dans l’exercice de ses droits sur ses Données.
⦁ Législation désigne toute loi et règlement relatif à la protection des Données, et en particulier le Règlement européen n°2016/679 et la loi n°78-17.
⦁ Navigation désigne la consultation, la prise de connaissance et de contact sur le Site par la Personne concernée.
⦁ Option désigne les compléments au Service pouvant être souscrits par l’Utilisateur selon des conditions financières à définir, et permettant une meilleure expérience du Service.
⦁ Personne concernée désigne toute personne physique qui navigue sur le Site et/ou qui a souscrit au Service et éventuellement aux Options, dès lors qu’elle peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
⦁ Responsable de traitement désigne la société par actions simplifiée à associé unique H2R au capital de 20 000 Euros, immatriculée au Registre du commerce et des sociétés de COLMAR sous le numéro 838 289 437, dont le siège social est situé 10 Grand Rue – 68280 LOGELHEIM, qui seule ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement.
⦁ Service désigne le logiciel SaaS HENRRI accessible depuis le Site avec un Compte, permettant à l’Utilisateur de gérer son activité commerciale et administrative, notamment en établissant des documents commerciaux et des factures.
⦁ Site désigne l’infrastructure développée par le Responsable de traitement selon les formats informatiques utilisables sur l’Internet comprenant des données de différentes natures, et notamment des textes, sons, images fixes ou animées, vidéos, bases de données, destinés à être consultés par la Personne concernée pour connaître, réserver et prendre contact avec le Responsable de traitement (www.henrri.com).
⦁ Sous-traitant désigne toute personne physique ou morale, autorité publique, service ou autre organisme que le Responsable de traitement qui traite les Données pour le compte du Responsable de traitement.
⦁ Tiers désigne toute personne physique ou morale, autorité publique, service ou autre organisme que le Responsable de traitement, le Sous-traitant et les personnes qui, placés sous l’autorité directe du Responsable de traitement ou du Sous-traitant, sont autorisées à traiter les Données.
⦁ Traitement désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués aux Données ou aux ensembles de Données, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
CONVENTION
Article 4. Principes relatifs au Traitement
Conformément à la Législation, le Responsable de traitement s’engage à respecter les principes suivants pour chaque Traitement :
⦁ Licéité ;
⦁ Loyauté ;
⦁ Transparence ;
⦁ Limitation des finalités ;
⦁ Minimisation des Données ;
⦁ Exactitude ;
⦁ Limitation de la conservation ;
⦁ Intégrité ;
⦁ Confidentialité ;
⦁ Responsabilité.
Article 5. Données traitées
Dans le cadre de la Navigation ainsi que de la mise à disposition du Service et des Options le cas échéant, le Responsable de traitement est amené à recueillir et à traiter un certain nombre de Données, et notamment :
⦁ Des informations personnelles (notamment nom, prénom, sexe, adresse postale, âge, situation professionnelle présente, situation professionnelle prévisionnelle, adresse email, numéro de téléphone, messages et demandes envoyées au Responsable de traitement) ;
⦁ Des informations professionnelles (notamment raison sociale, secteur d’activité, effectif, capital, site web, RCS, SIRET, NAF, IBAN) ;
⦁ Des informations financières (notamment montants, type de paiement, date de paiement)
⦁ Des informations techniques (notamment comportement de navigation sur le Site, adresse IP, consentement).
Article 6. Contexte du Traitement
Les Données peuvent être collectées et traitées par le Responsable de traitement à différentes occasions, et notamment :
⦁ Prise de contact avec le Responsable de traitement, notamment à des fins d’assistance technique et de support ;
⦁ Création d’un Compte ;
⦁ Navigation sur le Site ;
⦁ Utilisation du Service et des Options ;
⦁ Inscription à la newsletter ;
⦁ Demande d’exercice de droit sur les Données.
Article 7. Détail du Traitement
Finalité du Traitement | Données concernées | Base légale du Traitement | Durée de conservation des Données |
Sécurisation, maintenance et amélioration du Site et du Service | Adresse IP, Données de navigation | Intérêt légitime du Responsable de traitement à améliorer le Site et à gérer le Site, sécuriser et administrer le Site, prévenir la fraude et les actes malveillants. | 13 mois |
Gestion du Compte / fourniture du Service et des Options | Adresse email, prénom, nom, numéro de téléphone, raison sociale, code postal, secteur d’activité, effectif, informations relatives à la société de la Personne concernée, informations relatives aux clients de la société, informations relatives aux paiements, RIB, devis, factures, coordonnées bancaires, opérations bancaires et toute autre donnée nécessaire à la finalité du traitement | Contrat | 3 ans à compter de la dernière connexion de la Personne concernée au Compte |
Gestion des prises de commandes de produits sur le Site et transmission des commandes aux partenaires concernés | Adresse email, prénom, nom, numéros de téléphone, raison sociale, numéro SIRET | Contrat | 3 ans à compter de la prise de commande et de leur transmission aux partenaires concernés |
Gestion du support technique et de l’assistance entrepreneur, suivi des incidents | Nom, Prénom, adresse email, information de Compte, correspondances, informations saisies et toute autre donnée nécessaire à la finalité du traitement | Intérêt légitime à assister l’Utilisateur dans le cadre de son utilisation du Site et/ou du Service et/ou des Options | 3 ans après la dernière utilisation du Site et/ou du Service et/ou des Options par la Personne concernée |
Proposition de produits ou de services du Responsable de traitement | Nom, Prénom, adresse email et toute autre donnée nécessaire à la finalité du traitement | Intérêt légitime à réaliser de la prospection à destination de professionnels | 3 ans à compter du dernier contact par la Personne concernée |
Enquête de satisfaction | Adresse e-mail, avis et satisfaction | Intérêt légitime à évaluer la satisfaction de la Personne concernée et à améliorer le Site / le Service / les Options | 3 ans |
Gestion des prises de contact | Nom, prénom, sexe, adresse postale, âge, situation professionnelle présente, situation professionnelle prévisionnelle, adresse email, numéro de téléphone, messages et demandes envoyées au Responsable de traitement, adresse IP, recueil du consentement | Consentement de la Personne concernée | 3 ans à compter de la dernière prise de contact par la Personne concernée |
Gestion des achats de produits et/ou services, de la facturation et des normes comptables | Prénom, nom, adresse email, adresse postale, numéro de téléphone, commande effectuée, numéro de suivi, moyen de paiement | Contrat, obligation légale et intérêt légitime du Responsable de traitement de constater, d’exercer et de défendre ses droits en justice | 10 ans à compter de la transaction |
Gestion des demandes d’exercice de droit sur les données | Adresse email, numéro de téléphone | Consentement | 5 ans à compter de la réception de la demande |
Gestion de la newsletter | Adresse email, nom, prénom, numéro de téléphone, recueil du consentement | Consentement | 3 ans à compter de la dernière prise de contact par la Personne concernée |
Statistiques non anonymisées d’utilisation Site, du Service et des Options | Adresse IP, Données de navigation, recueil du consentement | Consentement | 3 ans à compter de la dernière prise de contact par la Personne concernée |
Le Responsable de traitement se réserve la possibilité d’anonymiser les Données qui font l’objet d’un Traitement avant de les supprimer.
Les données anonymisées pourront alors faire l’objet d’un Traitement à des fins de statistique.
Article 8. Destinataire des Données
Par principe, le Responsable de traitement est le seul Destinataire des Données.
Cependant, le Responsable de traitement peut être amené à transférer les Données à des Destinataires et/ou à toute autorité publique qui en ferait la demande, notamment dans le cadre d’une mission d’enquête.
Peuvent être Destinataires des Données, les Sous-traitants suivants :
⦁ Les sociétés faisant partie du même groupe que le Responsable de traitement, à savoir: RIVAGROUPE, ALLIANCE, BM EST FRANCE, VALPOLIS ;
⦁ Conseillers Rivalis ;
⦁ Sous-traitants marketing ;
⦁ Sous-traitants agrégateurs de comptes bancaires ;
⦁ Sous-traitants techniques dont hébergement ;
⦁ Tout Sous-traitant nécessaire à la réalisation du Service et des Options.
Le Responsable de traitement s’engage à exiger de ses Sous-traitants des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences légales et réglementaires et garantisse la protection des droits de la Personne concernée, notamment en cas de transfert des Données hors de l’Union européenne.
Le Responsable de traitement réalise l’ensemble de ses Traitements sur le territoire de l’Union Européenne (UE). Toutefois, pour certaines prestations spécifiques, il peut avoir recours à des sous-traitants établis en dehors de l’UE. Certaines Données à Caractère Personnel peuvent alors leur être communiquées pour les stricts besoins de leurs missions. Dans ce cas, conformément à la règlementation en vigueur, le Responsable de traitement exige de ses sous-traitants qu’ils fournissent les garanties nécessaires à l’encadrement et à la sécurisation de ces transferts, notamment par la signature de clauses contractuelles types de la Commission européenne.
Les Données pourront également être transférées aux partenaires du Responsable de traitement lorsque la Personne concernée sollicite la mise en relation avec ceux-ci, ou la commande d’un produit ou d’un service d’un partenaire sur le Site, afin que ce dernier fournisse ledit produit ou service à la Personne concernée. Les Traitements de Données seront alors en tout état de cause mis en œuvre par ces partenaires en qualité de responsables de traitement distinct.
Les Données seront également susceptibles d’être transmises à des partenaires commerciaux du Responsable de traitement.
Par ailleurs, le Responsable de traitement pourra communiquer à tout Destinataire ou Tiers les Données qui font l’objet d’un Traitement lorsqu’une obligation légale de le faire existe ou lorsque le Responsable de traitement considère de bonne foi que cela est nécessaire pour :
⦁ Répondre à toute réclamation à son encontre ;
⦁ Se conformer aux exigences de l’ordre judiciaire et/ou de l’ordre administratif et/ou de l’Autorité de Contrôle ;
⦁ Faire exécuter tout contrat dont la Personne concernée est partie ;
⦁ Sauvegarder les intérêts vitaux de toute personne physique ;
⦁ L’exécution d’une mission d’intérêt public.
En cas d’achat du Responsable de traitement par un Tiers, le Responsable de traitement se réserve la possibilité de partager les Données avec le Tiers acheteur sous réserve du respect de la présente Politique de Confidentialité par ce Tiers.
Article 9. Droits de la Personne concernée sur les Données
La Personne concernée dispose d’un certain nombre de droit sur les Données qu’elle peut notamment faire valoir, sauf exception législative ou réglementaire applicable, en réalisant une demande auprès du DPO à l’adresse suivante :
CABINET BOUCHARA – AVOCATS
Service DPO
17 rue du Colisée – 75008 PARIS
info@cabinetbouchara.com
Le DPO accompagnera la Personne concernée dans l’exercice de ses droits sur les Données auprès du Responsable de traitement.
En cas de doute raisonnable sur l’identité de la Personne concernée réalisant une demande d’exercice de ses droits sur les Données, le DPO pourra demander de joindre une copie d’un document officiel d’identité à l’appui de la demande.
Les demandes seront traitées dans les meilleurs délais et au plus tard conformément aux délais fixés par la Législation.
Article 9.1. Droit d’accès
La Personne concernée a le droit d’obtenir du Responsable de traitement la confirmation que des Données sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites Données ainsi que les informations suivantes :
⦁ Les finalités du traitement ;
⦁ Les catégories de Données ;
⦁ Les Destinataires ou catégories de Destinataires auxquels les Données ont été ou seront communiquées, en particulier les Destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
⦁ Lorsque cela est possible, la durée de conservation des Données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
⦁ L’existence du droit de demander au Responsable de traitement la rectification ou l’effacement de Données, ou une limitation du traitement des Données, ou du droit de s’opposer à ce traitement ;
⦁ Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
⦁ Lorsque les Données ne sont pas collectées auprès de la Personne concernée, toute information disponible quant à leur source ;
⦁ L’existence d’une prise de décision automatisée, y compris un profilage, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la Personne concernée.
Le Responsable de traitement fournit une copie des Données faisant l’objet d’un Traitement et se réserve le droit, en contrepartie de la fourniture de cette copie, de réclamer le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la Personne concernée.
La Personne concernée peut demander l’accès aux Données via le formulaire ci-dessous :
Article 9.2. Droit d’effacement et de rectification
La Personne concernée a le droit d’obtenir du Responsable de traitement la rectification et/ou l’effacement des Données inexactes ou obsolètes dans les meilleurs délais sauf situation contraire empêchant l’exercice de ce droit, et notamment :
⦁ L’exercice du droit à la liberté d’expression et d’information ;
⦁ Le respect d’une obligation légale ;
⦁ L’intérêt public dans le domaine de la santé publique, des archives, de la recherche scientifique ou historique ou statistique ;
⦁ La constatation, l’exercice ou la défense de droits en justice.
La Personne concernée peut demander la suppression de ses Données via le formulaire ci-dessous :
Article 9.3. Droit d’opposition
La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un Traitement de Données fondé sur l’exécution d’une mission d’intérêt public ou la nécessité de l’intérêt légitime du Responsable de traitement.
Le Responsable de traitement s’engage alors à ne plus traiter les Données, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le Traitement qui prévalent sur les intérêts et les droits et libertés de la Personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
Par ailleurs, la Personne concernée a le droit de s’opposer à tout moment au Traitement de Données réalisé à des fins de prospection par le Responsable de traitement, dans la mesure où la Personne concernée est liée à une telle prospection.
Enfin, lorsque des Données sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, la Personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement des Données, à moins que le Traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public.
Article 9.4. Droit à la limitation
La Personne concernée a le droit d’obtenir du Responsable du traitement la limitation du Traitement des Données lorsque :
⦁ L’exactitude des Données à caractère personnel est contestée par la Personne concernée, pendant une durée permettant au Responsable du traitement de vérifier l’exactitude des Données ;
⦁ Le traitement est illicite et la Personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
⦁ Le Responsable du Traitement n’a plus besoin des Données aux fins du Traitement mais celles-ci sont encore nécessaires à la Personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
⦁ La Personne concernée s’est opposée au Traitement conformément à l’Article 9.3, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le Responsable du traitement prévalent sur ceux de la Personne concernée.
La Personne concernée qui a obtenu la limitation du Traitement des Données est informée par le Responsable de traitement avant que la limitation du traitement ne soit levée.
Article 9.5. Droit à la portabilité des Données
La Personne concernée a le droit de recevoir les Données qu’elle a fournies au Responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable de traitement sans que le Responsable de traitement y fasse obstacle, lorsque :
⦁ Le Traitement est fondé sur le Consentement de la Personne concernée ou sur l’exécution d’un contrat auquel la Personne concernée est partie ;
⦁ Le Traitement est effectué à l’aide de procédés automatisés.
La Personne concernée, lors de l’exercice de son droit à la portabilité des Données, a le droit d’obtenir que les Données soient transmises directement du Responsable de traitement à un autre responsable de traitement, lorsque cela est techniquement possible.
Article 9.6. Droit d’introduire une réclamation auprès de l’Autorité de contrôle
La Personne concernée a le droit d’introduire une réclamation auprès de l’Autorité de Contrôle si elle considère faire l’objet d’un Traitement illégal de Données par le Responsable de traitement.
Article 9.7. Droit de définir des directives sur le sort des Données
La Personne concernée dispose du droit de définir des directives sur le sort des Données après sa mort auprès du Responsable de traitement qui mettra tous ses moyens techniques en œuvre pour faire respecter cette volonté.
Article 10. Sécurité des Données
Le Responsable de traitement prend les mesures techniques et organisationnelles appropriées pour protéger les Données contre la destruction, la perte, l’altération, l’utilisation détournée et l’accès non autorisé, la modification ou la divulgation, que ces actions soient volontaires ou accidentelles.
Ces mesures techniques et organisationnelles ont pour objectif d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience du Site et des systèmes d’information où sont stockés les Fichiers.
Afin de sécuriser la Navigation de la Personne, le Site est chiffré SSL (Secure Socket Layer).
Article 11. Sous-traitance
Le Responsable de traitement pourrait être amené à traiter des Données en qualité de Sous-traitant, pour le compte de partenaires tiers, notamment pour les finalités suivantes :
⦁ Réception et transmission auxdits partenaires des demandes d’assistance des Personnes concernées relatives à leurs produits (intérêt légitime du partenaire concerné à assister la Personne concernée dans le cadre de son utilisation des produits) ;
⦁ Proposition de produits ou de services desdits partenaires utiles à l’activité de la Personne, émise notamment sur le Site, ou par courrier électronique ou papier, appel téléphonique, SMS (Consentement de la Personne concernée recueilli par le Partenaire).
Le responsable de ces traitements fournira à la Personne concernée l’ensemble des informations requises par la Législation, et recueillera en tant que de besoin le Consentement de la Personne concernée.
Article 12. Modification de la Politique de Confidentialité
Le Responsable de traitement se réserve la possibilité de modifier occasionnellement la présente Politique de Confidentialité, en particulier la liste des Destinataires présente à l’Article 8.
En cas de modification substantielle de la présente Politique de Confidentialité, la Personne concernée sera informée personnellement de la nouvelle Politique de Confidentialité.
La Personne concernée est invitée à consulter régulièrement la présente Politique de Confidentialité pour prendre connaissance des éventuelles modifications de cette dernière.
La Personne concernée peut envoyer ses questions sur la présente Politique de Confidentialité au DPO à l’adresse suivante : info@cabinetbouchara.com.
Article 13. Nullité de la Politique de Confidentialité
Si l’une quelconque des stipulations de la présente Politique de Confidentialité s’avérait nulle au regard d’une règle de droit en vigueur ou d’une décision judiciaire devenue définitive, elle serait alors réputée non écrite, sans pour autant entraîner la nullité de l’ensemble de la Politique de Confidentialité ni altérer la validité de ses autres dispositions.
Article 14. Gestion des cookies
Lors de sa navigation sur le Site, la Personne concernée est amenée à consentir ou à refuser l’installation de Cookies sur son terminal informatique.
De manière générale, les Cookies enregistrent des informations relatives à la navigation des ordinateurs sur le Site (les pages consultées, la date et l’heure de la consultation, etc.), informations qui pourront être lues lors des visites ultérieures de la Personne concernée sur le Site avec transmission des Données au Responsable de traitement. L’installation de ces Cookies requiert le consentement de la Personne concernée.
Certains Cookies sont indispensables au bon fonctionnement du Site et ne nécessitent pas le consentement de la personne concernée avant leur installation, on parle alors de Cookies fonctionnels.
Conformément à l’Article 7 de la présente Politique de Confidentialité, les Cookies sont supprimés automatiquement sous treize (13) mois à compter de leur installation si la Personne concernée ne renouvelle pas son consentement avant l’expiration de ce délai.
La Personne concernée peut refuser de donner son consentement à l’installation des Cookies non fonctionnels, revenir sur son consentement et/ou paramétrer les Cookies à tout moment en utilisant le gestionnaire des Cookies du Responsable de traitement ci-dessous ou en configurant lui-même son navigateur de la manière suivante :
Pour Mozilla Firefox :
⦁ Choisir le menu “outil ” puis “Options”
⦁ Cliquer sur l’icône “vie privée”
⦁ Repérer le menu “cookie” et sélectionnez les options qui vous conviennent
Pour Microsoft Internet Explorer 6.0 :
⦁ Choisir le menu “Outils” (ou “Tools”), puis “Options Internet” (ou “Internet Options”).
⦁ Cliquer sur l’onglet “Confidentialité” (ou “Confidentiality”)
⦁ Sélectionner le niveau souhaité à l’aide du curseur.
Pour Microsoft Internet Explorer 5 :
⦁ Choisissez le menu “Outils” (ou “Tools”), puis “Options Internet” (ou “Internet Options”).
⦁ Cliquez sur l’onglet “Confidentialité”
⦁ Personnaliser le niveau à l’aide du curseur
Pour Netscape 6.X et 7. X :
⦁ Choisir le menu “Edition”>”Préférences”
⦁ Confidentialité et Sécurité
⦁ Cookies
Pour Opéra 6.0 et au-delà :
⦁ Choisir le menu “Fichier”>”Préférences”
⦁ Vie Privée
ANNEXE
ACCORD DE SOUS-TRAITANCE DANS LA MISE EN ŒUVRE DE TRAITEMENTS DE DONNEES PERSONNELLES
Nous vous remercions de l’intérêt que vous portez à nos services et vous invitons à lire attentivement le présent accord de sous-traitance dans la mise en œuvre de traitements de données personnelles.
En vous inscrivant sur www.henrri.com vous acceptez sans réserve le présent Accord vous liant à la société H2R, société par actions simplifiée à associé unique au capital de 20 000 euros, et inscrite au registre du commerce et des sociétés de COLMAR sous le numéro 838 289 437. (Ci-après « H2R »).
Son adresse de siège social est : 10, Grande Rue – 68280 – LOGELHEIM
Le service clientèle de H2R est disponible par courriel : contact@henrri.com
PREAMBULE
Le présent Accord a pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer, pour le compte du Responsable de traitement, les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le RGPD»).
CECI ETANT PRECISE, IL A ETE CONVENU DE CE QUI SUIT :
Article 1. Définition
Dans le présent Accord, les mots ou expressions commençant avec une majuscule auront la signification suivante :
⦁ « Accord » ou « Accord de sous-traitance » : désigne le présent document et l’Appendice A.
⦁ « Données à caractère personnel » ou « DCP » : désigne toute information relative à une Personne Concernée identifiée ou qui peut être identifiée comme telle, soit directement soit indirectement par regroupement d’informations, notamment par référence à un numéro d’identification ou à des éléments qui lui sont propres : une donnée de localisation, des identifiants en ligne (par exemple, pseudo et mot de passe) ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale, etc. à laquelle les Parties ont accès dans le cadre des relations contractuelles.
⦁ « Destinataire autorisé » : désigne un administrateur, un employé ou un sous-traitant qui a un besoin légitime d’accéder aux DCP dans le cadre de l’exécution des Prestations.
⦁ « Finalités Autorisées » : désigne l’objet du/des Traitement(s) de DCP mis en œuvre par le Responsable de traitement.
⦁ « HENRRI » : désigne le logiciel SaaS édité par le Sous-traitant.
⦁ « Personne Concernée » : désigne toute personne physique dont les DCP font l’objet d’un Traitement.
⦁ « Prestation » : désigne l’ensemble des options et services mis en place par le Sous-traitant pour le Responsable de traitement dans le cadre de l’utilisation de HENRRI.
⦁ « Règlementation » : désigne l’ensemble des lois et règlements applicables dans l’Union Européenne en matière de DCP, y compris la loi dite « Informatique et Libertés » n°78-17 du 6 janvier 1978 modifiée, et le Règlement Général sur la Protection des Données Personnelles 2016/679 en date du 27 avril 2016 dès son entrée en application, ainsi que tout guide de bonnes pratiques publié par les Autorités de régulation ou le Comité Européen sur la Protection des Données.
⦁ « Responsable de Traitement » : désigne la personne physique ou morale procédant à son inscription sur HENRRI et déterminant seule les moyens et les finalités du Traitement mis en œuvre par le Sous-traitant conformément au présent Accord.
⦁ « Sous-traitant » : désigne la société H2R, société par actions simplifiée au capital de 20 000 € immatriculée au RCS de Colmar sous le numéro 838 289 437 dont le siège social est situé 10 Grand Rue – 68280 Logelheim, effectuant des opérations de Traitement de DCP pour le compte et selon les instructions du Responsable de traitement.
⦁ « Traitement » : désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des Données ou des ensembles de Données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
⦁ Les termes et expressions « Violation de DCP », « Traiter », « Personne concernée », « Etat membre », « Autorité de contrôle », « Clauses types », « Pays tiers » ont le même sens que celui qui leur est donné dans la Réglementation, et les expressions voisines doivent être interprétées de la même manière.
Article 2. Durée de l’Accord et suppression des Données à caractère personnel
Le présent Accord de sous-traitance entre en vigueur à compter de sa validation et reste applicable pendant la durée de la relation contractuelle prévue entre les Parties.
Au terme de l’Accord, le Sous-traitant doit, au choix du Responsable de Traitement, soit retourner l’ensemble des DCP traitées, soit les supprimer et certifier au Responsable de traitement que la suppression a bien été réalisée et dans la limite des obligations légales et réglementaires de conservation s’imposant au Sous-traitant.
Article 3. Description des traitements
Le Sous-traitant est autorisé à traiter pour le compte du Responsable de traitement les Données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) : Création d’un compte HENRRI, et utilisation de HENRRI (ci-après « les Prestations ») dans les conditions définies à l’Appendice A.
Article 4. Engagements du Sous-traitant
Le Sous-traitant s’engage à :
⦁ Traiter les DCP uniquement nécessaires pour les Finalités autorisées et conformément aux instructions documentées du Responsable de traitement notamment résultant du présent Accord. Si le Sous-traitant considère qu’une instruction du Responsable de traitement constitue une violation du Règlement (UE) 2016/679 ou de la loi n°78-17, il l’en informe immédiatement. En outre, si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union européenne ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable de traitement sauf si la loi le lui interdit pour des motifs importants d’intérêt public ;
⦁ Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent Accord ;
⦁ Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent Accord :
(i) Respectent la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
(ii) Reçoivent la formation nécessaire en matière de protection des Données à caractère personnel ;
⦁ Aider le Responsable de traitement pour la réalisation d’analyses d’impact relatives à la protection des données en relation avec les opérations de Traitement mises en œuvre au titre du présent Accord et la réalisation de la consultation préalable de la Commission Nationale de l’Informatique et des Libertés (CNIL) le cas échéant ;
⦁ Mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. À l’expiration ou à la résiliation des relations contractuelles entre les Parties, pour quelque raison que ce soit, selon le choix du Responsable de traitement (i) supprimer, dans un délai raisonnable, toutes les DCP pour le compte du Responsable de traitement et certifier auprès de celui-ci dans un délai raisonnable qu’il a procédé à cette suppression ou (ii) renvoyer toutes les DCP au Responsable de traitement et détruire les copies existantes, à moins que le droit de l’Union ou le droit national n’impose de les conserver plus longtemps. A défaut d’instructions spécifiques concernant la réversibilité des DCP ou de leur reprise, le Sous-traitant procèdera à la suppression définitive de l’ensemble des DCP dans les meilleurs délais à compter de la fin du ou des Traitements à moins que le droit de l’Union ou le droit de l’Etat-membre applicable n’en dispose autrement. Les copies existantes des DCP pourront faire l’objet d’une conservation par le Sous-traitant en bases archivées à des fins probatoires pour les délais de prescription légale applicables, à moins que le droit de l’Union Européenne ou le droit français n’exige la conservation de certaines DCP pour des délais plus longs ;
⦁ Communiquer au Responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un ;
⦁ Mettre à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de ses obligations en tant que Sous-traitant et pour permettre la réalisation d’audits, y compris des inspections dans les conditions définies à l’article 11.
Le Responsable de traitement est informé que toute demande d’aide et d’assistance formulée pourra, selon la complexité de celle-ci, faire l’objet d’une facturation supplémentaire des Prestations.
Article 5. Droit des Personnes
Dans la mesure du possible, le Sous-traitant aidera le Responsable de traitement de son obligation de donner suite aux demandes d’exercice des droits des Personnes Concernées au titre de la Règlementation dont notamment le : droit d’accès, de rectification, d’effacement, d’opposition, droit à la limitation du traitement, droit à la portabilité des DCP, droit de ne pas faire objet d’une décision individuelle automatisée (y compris le profilage au sens de la Règlementation).
Lorsque les personnes concernées exercent auprès du Sous-traitant des demandes d’exercice de leurs droits, il adressera ces demandes par courrier électronique à la personne désignée par le Responsable de traitement en Appendice A, à charge au Responsable de traitement de traiter ces demandes.
Le Responsable de traitement reconnaît que les diligences précitées satisfont à l’obligation de coopération et d’assistance du Sous-traitant pour lui permettre d’assurer la conformité des Traitements à la Règlementation. En cas de nécessité de mettre en œuvre des diligences additionnelles, les Parties conviennent de se réunir et discuter de bonne foi des conditions de ces diligences additionnelles, qui feront l’objet d’un avenant aux présentes.
Toute opération réalisée par le Sous-traitant dans le cadre d’une demande d’exercice de droit pourra, le cas échéant, donner lieu à une facturation complémentaire compte tenu des investigations techniques réalisées à la demande du Responsable de traitement.
Article 6. Obligations en matière de sécurité
Le Sous-traitant s’engage à mettre en œuvre les mesures d’ordre technique et organisationnelle appropriées et à prendre les précautions utiles pour garantir un niveau de sécurité adapté au risque existant.
Le Sous-traitant s’engage à prendre les précautions utiles au regard de la nature des DCP et des risques pour les Traitements, pour préserver la sécurité des DCP et empêcher toute déformation, altération, endommagement, destruction de manière fortuite ou illicite, perte, divulgation, et/ou tout accès par des tiers non autorisés préalablement.
Les mesures prises par le Sous-traitant doivent tenir compte des possibilités techniques appropriées, du coût de leur mise en œuvre, des caractéristiques du Traitement (nature, portée, finalité etc) ainsi que des risques présentés pour les droits des Personnes Concernées. Il peut s’agir notamment :
⦁ de mesures de chiffrement des données ;
⦁ de mesures permettant de s’assurer, pendant la mise en œuvre du traitement, de la confidentialité, de l’intégrité, de la disponibilité et de la résistance des systèmes et services traitant les données ;
⦁ de mesures permettant de restaurer l’accès et la disponibilité des données dans les délais appropriés en cas d’incident matériel ou technique ;
⦁ de procédures destinées à évaluer et tester l’effectivité des mesures techniques et organisationnelles.
Le Responsable de traitement reconnaît que les diligences précitées satisfont à l’obligation de coopération et d’assistance du Sous-traitant.
Article 7. Sous-traitance ultérieure
Dans le cadre de la réalisation des Prestations, le Sous-traitant est expressément autorisé par le Responsable de traitement à faire appel à un sous-traitant ultérieur pour mener des activités de traitement spécifiques.
Les sous-traitants ultérieurs seront désignés à condition qu’un contrat ou tout autre acte juridique contraignant soit conclu avec le Sous-traitant avant qu’il ne transfère ou n’accède à des Données personnelles, et que ledit contrat contienne des obligations relatives au Traitement qui sont au moins équivalentes à celles énoncées dans le présent Accord.
Le sous-traitant ultérieur est tenu de respecter les obligations du présent Accord pour le compte et selon les instructions du Responsable de traitement. Il appartient au Sous-traitant de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement (UE) 2016/679. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant demeure pleinement responsable devant le Responsable de traitement de l’exécution par le sous-traitant ultérieur de ses obligations.
Le Responsable du traitement convient que lorsque le Sous-traitant recrute un sous-traitant ultérieur et que ces activités de traitement impliquent un transfert de DCP, le Sous-traitant et le sous-traitant ultérieur peuvent garantir le respect de la Règlementation et notamment en utilisant un instrument juridique contraignant prévu par la Règlementation.
Article 8. Violation des données
Le Sous-traitant notifie au Responsable de traitement par écrit toute violation de Données à caractère personnel dans un délai raisonnable, conformément à la Règlementation, après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à la Commission Nationale de l’Informatique et des Libertés ou aux Personnes Concernées.
A ce titre, le Sous-traitant précisera dans la mesure du possible au regard de son état de connaissance les points suivants :
⦁ La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de Données à caractère personnel concernés ;
⦁ Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
⦁ La description des conséquences probables de la violation de Données à caractère personnel ;
⦁ La description des mesures prises ou envisagées par le Sous-traitant pour remédier à la violation de Données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
Article 9. Engagements du Responsable de Traitement
Le Responsable de Traitement s’engage à :
⦁ Désigner un interlocuteur privilégié chargé de le représenter auprès du Sous-traitant ;
⦁ Fournir ou mettre à disposition du Sous-traitant les catégories de données nécessaires à la finalité des traitements prévus dans le présent Accord ;
⦁ Tenir un registre de toutes les opérations de traitement qu’il effectue en qualité de Responsable de Traitement. Ce registre contient au moins les informations obligatoires requises par la Règlementation ;
⦁ Informer le Sous-traitant en cas d’évolution des Prestations demandées, entraînant ou risquant d’entraîner un changement potentiel du statut de Sous-traitant ;
⦁ Documenter par écrit toute instruction ultérieure à l’Accord concernant le Traitement des DCP par le Sous-traitant ;
⦁ Veiller pendant toute la durée de l’Accord, au respect des obligations prévues par le Règlement (UE) 2016/679 et de la loi n°78-17 par le Sous-traitant ;
⦁ Superviser les Traitements ;
⦁ Mettre en œuvre toute mesure technique et organisationnelle appropriée afin de garantir un niveau de sécurité adapté au risque existant ;
⦁ Fournir l’information aux Personnes Concernées par les opérations de traitement au moment de la collecte des DCP.
Le Responsable de traitement reconnaît :
⦁ Que les engagements du Sous-traitant dans le cadre du présent Accord constituent des garanties suffisantes de la conformité du Sous-traitant à la Règlementation ;
⦁ Que le Sous-traitant se limite à suivre les instructions documentées du Responsable de traitement, sous réserve d’information du Responsable de traitement en cas d’instructions données qui seraient selon le Sous-traitant non conformes à la Règlementation. Toute instruction non documentée par écrit ou non conforme à la Règlementation n’est pas prise en compte.
Article 10. Responsabilité
En cas de manquement de la part d’une des Parties à l’une des obligations qui lui incombent en vertu du présent Accord, cette dernière s’engage à réparer le préjudice direct subi par l’autre Partie du fait de ce non-respect. La responsabilité de l’une des Parties ne saurait être recherchée pour des dommages résultant d’erreurs provenant de l’autre Partie. De même, la responsabilité de l’une des Parties ne saurait être recherchée en cas de force majeure ou de cas fortuit, ou pour tous les inconvénients ou dommages inhérents à l’utilisation d’Internet, notamment une rupture de service, une intrusion extérieure ou la présence de virus informatiques.
Article 11. Information et Audit
Le Responsable de traitement peut commander la réalisation d’audits objectifs de conformité à la Règlementation afin de s’assurer du niveau de conformité du Sous-traitant. Ne sont pas concernés par l’audit sur pièces les renseignements, informations ou données confidentiels de quelle que nature que ce soit (notamment et sans que cette liste soit limitative, techniques, économiques, commerciaux, créatifs …) détenus par le Sous-traitant, y compris ceux confiés au Sous-traitant par des tiers quels qu’ils soient.
S’agissant des audits, les Parties conviennent de respecter les conditions suivantes.
Le Responsable de traitement, s’il le souhaite, peut réaliser une (1) fois par an, à ses frais, un audit, directement ou par l’intermédiaire de tout tiers indépendant, non concurrent du Sous-traitant, afin de s’assurer du respect des engagements pris par le Sous-traitant dans le cadre du présent Accord.
Dans l’hypothèse où le Responsable de traitement souhaiterait faire appel à un tiers pour la réalisation de l’audit, ce dernier s’engage expressément à faire signer audit tiers un accord de confidentialité et à se porter fort du respect de ses termes.
Le Responsable de traitement communiquera au Sous-traitant avec un préavis d’au moins quarante-cinq (45) jours calendaires, tout demande d’opération d’audit, la date de l’audit ainsi que le nom de l’éventuel tiers en charge de l’audit (ci-après « Auditeur »). Le Sous-traitant pourra refuser un Auditeur notamment si la proposition du Responsable de traitement fait apparaître un conflit d’intérêt ou si l’Auditeur est un concurrent du Sous-traitant.
En aucune manière, l’audit réalisé ne saurait détériorer ou ralentir les Prestations proposées par le Sous-traitant ou porter atteinte à la gestion organisationnelle du Sous-traitant. Les opérations d’audit ne devront pas comporter d’actions pouvant potentiellement endommager l’infrastructure du Sous-traitant ni interférer avec les autres Prestations procurées par le Sous-traitant à ses autres clients
Le rapport d’audit sera adressé gratuitement au Sous-traitant par les Auditeurs ou par le Responsable de traitement, dans les meilleurs délais à compter de l’issue de l’audit, de telle sorte que le Sous-traitant puisse formuler toutes observations ou objections par lettre recommandée avec accusé de réception adressée à l’Auditeur et au Responsable de traitement.
Article 12. Stipulations diverses
Les Parties conviennent que l’Accord ne peut être interprété comme la création d’une entité commune, ni comme une association de partenariat de quelque nature que ce soit.
Les Parties s’engagent à ne faire aucune annonce ou déclaration concernant les discussions ou négociations liées aux Prestations, sans l’accord exprès, préalable et écrit de l’autre Partie.
Les Parties s’engagent à faire preuve de bonne foi dans leurs relations.
Le présent Accord est susceptible d’être modifié notamment en cas d’évolution de la Réglementation.
Article 13. Droit applicable et litige
Le présent Accord est soumis, régi et interprété conformément au droit français, à l’exclusion de tout autre droit.
Les Parties s’efforceront de régler à l’amiable tout différend survenant au sujet de la validité, de l’interprétation, de l’application et/ou de la rupture de l’Accord.
A défaut de la voie amiable, tout différend entre les Parties relatif à la validité, l’interprétation, l’exécution ou autre du présent Accord et qui n’aurait pas pu être réglé à l’amiable dans le délai de trois (3) mois, sera tranché par tribunaux du ressort de la Cour d’appel de Paris qui seront seuls compétents.
Appendice A : DESCRIPTION DES TRAITEMENTS DES DONNEES A CARACTERE PERSONNEL
Les informations renseignées dans le présent appendice sont issues de la cartographie de logiciel SaaS HENRRI.
Il appartient au Responsable de traitement d’en vérifier l’exactitude et l’exhaustivité. En aucun cas, la responsabilité du Sous-traitant ne pourra être recherchée à ce titre, ce que le Responsable de traitement reconnait expressément.
Responsable de traitement | Désigne la personne physique ou morale procédant à la création d’un compte HENRRI et déterminant seule les moyens et les finalités du Traitement mis en œuvre par le Sous-traitant conformément au présent Accord. |
Date de début des Traitements et durée | A compter de la création du compte HENRRI et pendant toute la durée d’exécution des Prestations. |
Finalité des Traitements | Réalisation des Prestations suivantes : ⦁ Création d’un compte HENRRI ⦁ Utilisation des fonctionnalités de HENRRI : * Réalisation de divers documents : Devis, factures, avoirs et autres comportant des Données à caractère personnelle * Gestion d’une liste de prospects et de clients |
Nature de traitement (article 4 du RGPD) | ⦁ La collecte ⦁ L’enregistrement ⦁ L’organisation ⦁ La structuration ⦁ La conservation / stockage ⦁ L’adaptation / la modification ⦁ L’extraction ⦁ L’accès / la consultation ⦁ L’utilisation ⦁ La communication par transmission ⦁ La diffusion ou toute autre forme de mise à disposition ⦁ Le rapprochement ou l’interconnexion ⦁ La limitation ⦁ L’effacement / la destruction |
Sous-Traitants ultérieurs | Pour le Sous-traitant Hébergement : TERSEDIA, 18 Rue Charles Despeaux, 78400 Chatou – RCS Versailles 408 546 398 |
Catégorie de Destinataires des Données Personnelles (qui manipule, qui copie, qui visualise, qui réutilise les données) | Pour le Sous-traitant : Les équipes de HENRRI, Ainsi que : Les sociétés faisant partie du même groupe que le Sous-traitant, à savoir: RIVAGROUPE, ALLIANCE, BM EST FRANCE, VALPOLIS ; Conseillers Rivalis ; Sous-traitants marketing ; Sous-traitants agrégateurs de comptes bancaires ; Sous-traitants techniques dont hébergement ; Tout Sous-traitant nécessaire à la réalisation du Service et des Options. |
Catégorie de personnes concernées | ⦁ Utilisateurs de la Solution HENRRI ⦁ Prospects ⦁ Clients |
Catégorie de données personnelles traitées | ⦁ Données d’identification (civilité, nom, prénom, identifiant, matricule) ⦁ Données de contact professionnel ou personnel (téléphone, adresse email) ⦁ Données de localisation (adresse postale, position géographique) ⦁ Données de connexion (identifiants, adresses IP, URL) ⦁ Données de communication (courriers, e-mails, SMS, messages sociaux) ⦁ Champs de texte libre ⦁ Pièces jointes diverses (CNI, passeport, avis d’imposition, …) ⦁ Données financières et données bancaires, notamment les RIB. |
Catégorie de données personnelles NON traitées | Données de contenu (copies d’écran, commentaires) |
Conservation des données (date de début et durée en mois) | Durée de la relation contractuelle entre les Parties |
Coordonnées de l’interlocuteur du Sous-traitant | Nom : Vanessa Prénom : Bouchara Fonction : Avocat – DPO Adresse mail info@cabinetbouchara.com Téléphone 01 42 25 42 30 |