Politique de confidentialité de NEW RAI
ARTICLE 1 – CHAMP D’APPLICATION ET OPPOSABILITE
Le présent document complète les conditions générales et particulières de tout contrat conclu entre d’une part la société NEW RAI, Société par Actions Simplifiée immatriculée au RCS d’Aix-en-Provence sous le numéro B 851 384 636, dont le siège social est situé Impasse des Cardelinos 13710 FUVEAU, prise en la personne de son Président en exercice et d’autre part, toute personne morale ou physique ayant recours aux services de la société NEW RAI (ci-après « le Client »).
En signant ce document, le Client reconnaît avoir pris intégralement connaissance de la présente Politique de Confidentialité et l’accepter sans réserve.
ARTICLE 2 – OBJET
La présente Politique de Confidentialité a pour objet :
- D’informer le Client sur les traitements de données à caractère personnel effectués par NEW RAI, tant pour son propre compte que pour le compte du Client ;
- De rappeler les obligations de NEW RAI en sa qualité de sous-traitant du Client, et les obligations du Client en sa qualité de responsable de traitement pour les données à caractère personnel qu’il collecte et transmet à NEW RAI.
ARTICLE 3 – DONNEES A CARACTERE PERSONNEL COLLECTEES PAR NEW RAI
Dans le cadre de son activité, NEW RAI est amenée à collecter des données personnelles dans le cadre de :
- la gestion de la relation client,
- la gestion des prospects,
- la gestion des fournisseurs,
- la gestion des agents commerciaux,
- la fourniture de logiciels en mode SaaS,
- la maintenance et le support informatique.
La description détaillée de ces traitements figure aux articles 3.1 à 3.6.
Pour ces traitements, le responsable de traitement est la société NEW RAI dont les coordonnées figurent à l’article 1.
Le Délégué à la Protection des Données est la société THELYS AVOCATS, société civile professionnelle, immatriculée au Registre du commerce et des sociétés de Marseille sous le numéro B 819 166 190, dont le siège est situé 35, rue Saint Jacques 13006 MARSEILLE, prise en la personne de Mme Diane PINARD en sa qualité de cogérante.
Les personnes concernées peuvent demander à NEW RAI l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement, ou du droit de s’opposer au traitement et du droit à la portabilité des données, dans les conditions et les limites prévues par la règlementation en vigueur. Elles peuvent également fournir des directives quant à l’utilisation de leurs données personnelles après leur mort.
Pour exercer ces droits, les personnes doivent contacter le Délégué à la Protection des Données par email à l’adresse pinard@thelys-avocats.fr ou par courrier postal à l’adresse suivante : Me Diane PINARD – SCP THELYS AVOCATS – 35, rue St Jacques 13006 MARSEILLE. Toute demande d’exercice des droits mentionnés ci-dessus devra être accompagnée d’un justificatif d’identité de la personne concernée. Elle sera traitée dans un délai d’un mois à compter de la réception du justificatif d’identité. En cas de circonstances particulières tenant à la complexité de la demande ou à un grand nombre de demandes à traiter, le délai de réponse pourra être prolongé de deux mois supplémentaires.
Les personnes concernées ont également le droit d’introduire une réclamation auprès de la CNIL ou de toute autorité mentionnée sur la liste disponible auprès de la Commission européenne.
3.1. La gestion de la relation client
Le traitement a pour finalité la gestion de la relation avec le Client. Les données sont utilisées pour l’établissement et le suivi des contrats, la comptabilité, la facturation, le recouvrement et l’envoi d’informations commerciales.
La base juridique du traitement est la nécessité
d’exécuter le contrat conclu entre NEW RAI et le Client.
Les catégories de données collectées sont les suivantes : nom, prénom, adresse postale professionnelle, numéro
de téléphone professionnel et éventuellement personnel si le Client souhaite le communiquer, adresse email professionnelle et éventuellement personnelle si le Client souhaite la communiquer, RIB.
Les catégories de personnes concernées sont le(s) dirigeant(s) si le Client est une personne morale, le Client si celui-ci est une personne physique, et de façon ponctuelle, le(s) préposé(s) du Client servant d’interlocuteur(s) à NEW RAI dans le cadre de l’exécution du contrat.
Les données sont conservées pendant toute la durée de la relation contractuelle augmentée d’un délai de cinq ans à compter de la fin de la relation contractuelle.
Les destinataires susceptibles d’accéder aux données sont : le personnel habilité de New rai, les agents commerciaux de New rai, les sous-traitants de New rai dont la liste peut être fournie sur simple demande (sociétés assurant des prestations d’hébergement et de maintenance informatique, fournisseur de logiciel de facturation, expert-comptable).
En signant la présente Politique de Confidentialité, le Client autorise expressément que les destinataires mentionnés à l’alinéa précédent aient accès aux données personnelles pour la finalité mentionnée à l’alinéa 1er.
NEW RAI garantit au Client que la confidentialité des données est assurée par des mesures techniques et organisationnelles appropriées, conformément à la règlementation en vigueur.
La fourniture des informations présente un caractère contractuel. A défaut de fournir les informations, le Client ne pourra pas contracter avec NEW RAI.
3.2. La gestion des prospects
Le traitement a pour finalité la prospection commerciale. Les données sont utilisées pour contacter des prospects en vue de leur proposer les services de NEW RAI.
La base juridique du traitement est l’intérêt légitime de NEW RAI tenant au développement de son activité commerciale.
Les catégories de données collectées sont les suivantes : nom, prénom, adresse postale professionnelle, numéro de téléphone, adresse email.
Les catégories de personnes concernées sont les prospects de NEW RAI (cabinets d’expertise comptable ou entreprises susceptibles de devenir clients de NEW RAI).
Les données sont conservées pendant 3 ans à compter du dernier contact avec la personne concernée.
Les destinataires susceptibles d’accéder aux données sont : les dirigeants de New rai, les agents commerciaux de New rai, les sous-traitants de New rai dont la liste peut être fournie sur simple demande (sociétés assurant des prestations d’hébergement et de maintenance informatique).
NEW RAI garantit que la confidentialité des données est assurée par des mesures techniques et organisationnelles appropriées, conformément à la règlementation en vigueur.
3.3. La gestion des fournisseurs
Le traitement a pour finalité la gestion des relations avec les fournisseurs de NEW RAI. Les données sont utilisées pour l’établissement et/ou le suivi des contrats ainsi que le règlement des factures.
La base juridique du traitement est l’intérêt légitime de NEW RAI tenant à l’exercice normal de son activité commerciale.
Les catégories de données collectées sont les suivantes : nom, prénom, adresse postale professionnelle, numéro de téléphone, adresse email, RIB.
Les catégories de personnes concernées sont les fournisseurs de NEW RAI.
Les données sont conservées pendant toute la durée de la relation contractuelle augmentée du délai de prescription de 5 ans.
Les destinataires susceptibles d’accéder aux données sont : les dirigeants de New rai, les agents commerciaux de New rai, les sous-traitants de New rai dont la liste peut être fournie sur simple demande (sociétés assurant des prestations d’hébergement et de maintenance informatique, expert-comptable).
NEW RAI garantit que la confidentialité des données est assurée par des mesures techniques et organisationnelles appropriées, conformément à la règlementation en vigueur.
3.4. La gestion des agents commerciaux
Le traitement a pour finalité la gestion des relations avec les agents commerciaux (établissement et suivi du contrat, facturation). Les données sont utilisées pour contacter des prospects en vue de leur proposer les services de NEW RAI.
La base juridique du traitement est l’intérêt légitime de NEW RAI tenant au développement de son activité commerciale.
Les catégories de données collectées sont les suivantes : nom, prénom, adresse postale professionnelle, numéro de téléphone, adresse email, RIB.
Les catégories de personnes concernées sont les agents commerciaux de NEW RAI ou dirigeants de sociétés ayant conclu un contrat d’agent commercial avec NEW RAI.
Les données sont conservées pendant toute la durée de la relation contractuelle augmentée du délai de prescription de 5 ans.
Les destinataires susceptibles d’accéder aux données sont : les dirigeants de New rai, les agents commerciaux de New rai, les sous-traitants de New rai dont la liste peut être fournie sur simple demande (sociétés assurant des prestations d’hébergement et de maintenance informatique, fournisseur de logiciel de facturation, expert-comptable).
NEW RAI garantit que la confidentialité des données est assurée par des mesures techniques et organisationnelles appropriées, conformément à la règlementation en vigueur.
3.5. Fourniture de logiciel en mode SaaS
Le traitement a pour finalité l’utilisation des logiciels en mode SaaS (y compris l'application NeoPlus) pour lesquels NEW RAI consent des licences d’utilisation. Les données sont utilisées pour permettre aux utilisateurs de se connecter de façon sécurisée à l’interface utilisateur et d’utiliser les logiciels conformément à leur destination.
La base juridique du traitement est la nécessité d’exécuter le contrat de licence conclu entre NEW RAI et le Client ainsi que l’intérêt légitime tenant à la sécurisation des données transmises par les utilisateurs via le logiciel.
Les catégories de données collectées sont les suivantes : login et mot de passe, adresse IP, logs de connexion permettant de connaître la durée de connexion et les applications ouvertes.
Les catégories de personnes concernées sont tous les utilisateurs du logiciel NEW RAI (personnel des cabinets d’expertise comptable et entreprises clients de NEW RAI).
Les données sont conservées pendant toute la durée du contrat de licence augmentée du délai de prescription de
5 ans (à l’exception des logs de connexion qui sont
conservés pendant une durée d’un an à compter de la
connexion considérée).
Les destinataires susceptibles d’accéder aux données sont : les cadres habilités de New rai, les agents commerciaux de New rai, les sous-traitants de New rai dont la liste peut être fournie sur simple demande (sociétés assurant des prestations d’hébergement, de maintenance et support informatique) et la filiale Neonumy, qui développe tous les logiciels.
En signant la présente Politique de Confidentialité, le Client autorise expressément que les destinataires mentionnés à l’alinéa précédent aient accès aux données personnelles pour la finalité mentionnée à l’alinéa 1er.
NEW RAI garantit au Client que la confidentialité des données est assurée par des mesures techniques et organisationnelles appropriées, conformément à la règlementation en vigueur.
La fourniture des informations présente un caractère contractuel. A défaut de fournir les informations, le Client ne pourra pas utiliser le logiciel NEW RAI.
3.6. La fourniture de prestations de support informatique
Le traitement a pour finalité d’assurer l’assistance et le support informatique compris dans les prestations de NEW RAI. Les données sont principalement utilisées pour :
- Répondre aux utilisateurs lors d’un appel
hotline,
- Identifier le Client comme utilisateur dans le système de NEW RAI, détecter les fraudes et procéder à l’authentification,
- Réaliser tous types d’interventions techniques sur des applications ou sur des espaces de stockage,
- Envoyer au Client des comptes rendus
d’intervention.
Les bases juridiques du traitement sont la nécessité d’exécuter le contrat conclu entre NEW RAI et le Client ainsi que l’intérêt légitime tenant à la sécurisation des données.
Les catégories de données collectées sont les suivantes :
- Nom, prénom, adresse email et numéro de téléphone,
- Mot de passe pour prendre la main sur le poste via un logiciel de connexion à distance.
Les catégories de personnes concernées sont tous les utilisateurs du logiciel NEW RAI (personnel des cabinets d’expertise comptable et entreprises clients de NEW RAI).
Les données sont conservées pendant le temps nécessaire à l’intervention de maintenance ou support. A défaut de réalisation concrète, elles sont supprimées au bout d’un mois à compter de la demande d’intervention.
Les destinataires susceptibles d’accéder aux données sont : les cadres habilités de New rai, les agents commerciaux de New rai, les sous-traitants de New rai dont la liste peut être fournie sur simple demande (sociétés assurant des prestations d’hébergement, de maintenance et de support informatique).
En signant la présente Politique de Confidentialité, le Client autorise expressément que les destinataires mentionnés à l’alinéa précédent aient accès aux données personnelles pour la finalité mentionnée à l’alinéa 1er.
NEW RAI garantit au Client que la confidentialité des données est assurée par des mesures techniques et organisationnelles appropriées, conformément à la règlementation en vigueur.
ARTICLE 4 – DONNEES A CARACTERE PERSONNEL STOCKEES PAR NEW RAI POUR LE COMPTE DE SES CLIENTS EXPERTS COMPTABLES / COMMISSAIRES AUX COMPTES
4.1. Qualité de sous-traitant de NEW RAI au sens du RGPD
Au sens du Règlement UE n°2016/679 du 27 avril 2016 dit
« Règlement Général sur la Protection des Données (RGPD) » (ci-après « le Règlement »), la société NEW RAI a la qualité de sous-traitant pour les données à caractère personnel qu’elle stocke et auxquelles elle accède pour le compte du Client.
Le Client, en sa qualité d’expert-comptable et/ou commissaire aux comptes, a lui-même la qualité de sous- traitant vis-à-vis de ses propres clients, pour les données personnelles qu’il traite pour leur compte.
En signant la présente Politique de Confidentialité, le Client autorise NEW RAI à traiter les données à caractère personnel fournies, dans les conditions définies ci-après.
4.2. Description du traitement sous-traité à NEW RAI
NEW RAI héberge l’ensemble des données qui lui sont transmises par le Client et assure la fourniture et la maintenance des applications.
Le traitement a pour finalité l’hébergement des données à caractère personnel relatives aux clients du Client. NEW RAI assure le stockage des données et la maintenance des logiciels fournis au Client dans le cadre du contrat. NEW RAI réalise donc les opérations suivantes : stockage des données sur des serveurs et toutes opérations techniques et de support en lien avec la sécurisation, la récupération ou la suppression des données.
Les données à caractère personnel traitées sont tous les emails du Client ainsi que toutes les données que le Client est susceptible de collecter auprès de ses propres clients pour la tenue de leur comptabilité (saisie comptable, établissement du bilan, du compte de résultat et des annexes), l’établissement de leurs déclarations fiscales et sociales, l’établissement des bulletins de salaires et le suivi de l’exécution des contrats de travail, l’établissement d’actes juridiques (statuts PV d’assemblée et autres). Les catégories de données à caractère personnel susceptible d’être stockées par NEW RAI sont donc notamment, et sans que cette liste soit limitative :
- État-civil (nom, prénom, date et lieu de naissance, nationalité, adresse postale), numéro de téléphone, adresse email, photographies)
- Carte grise et permis de conduire,
- Situation familiale et matrimoniale
- Informations d’ordre économique et financier (revenus, situation financière, données bancaires, numéro fiscal, taux d’imposition)
- Arrêts maladie, comptes-rendus de visite de la médecine du travail, existence et nature d’un handicap,
- Données de connexion (ex. adresses Ip, logs, identifiants des terminaux, identifiants de connexion, informations d'horodatage, etc.)
- Données de localisation (déplacements professionnels, contrôles des accès aux locaux ou aux réseaux et applications)
- Internet (ex. cookies, traceurs, données de
navigation, mesures d’audience, …)
- Numéro de sécurité sociale
Les catégories de personnes concernées sont : tous les utilisateurs du logiciel NEW RAI, les clients des cabinets d’expertise comptable ou de commissariat aux comptes.
4.3. Obligations de NEW RAI vis-à-vis du Client :
NEW RAI s'engage à :
- traiter les données uniquement pour la finalité objet du présent contrat, à savoir l’hébergement des données collectées par le Client auprès de ses propres clients dans le cadre de son activité d’expert-comptable / commissaire aux comptes ;
- traiter les données conformément aux instructions écrites du Client. Si NEW RAI considère qu’une instruction constitue une violation du Règlement ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Client. En outre, si NEW RAI est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ;
- garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat ;
- veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
- s’engagent à respecter la confidentialité,
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
- prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;
- Sous-traitance
NEW RAI pourra faire appel à un autre sous-traitant (ci- après, « le sous-traitant ultérieur ») pour assurer l’hébergement des données ou la maintenance des logiciels et des serveurs. La liste des sous-traitants peut être fournie sur simple demande.
NEW RAI s’assurera que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement.
- Droit d’information des personnes concernées
Il appartient au Client de demander à ses propres clients de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
- Exercice des droits des personnes
Dans la mesure du possible, NEW RAI doit aider le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès de NEW RAI des demandes d’exercice de leurs droits, NEW RAI doit adresser ces demandes dès réception au Client,
par courrier électronique au Délégué à la Protection des Données.
- Notification des violations de données à caractère personnel
NEW RAI notifiera par écrit au Client toute violation de données à caractère personnel dans les plus brefs délais de façon à permettre au Client de notifier la violation à la CNIL dans un délai de 72 heures. Cette notification sera accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
- Mesures de sécurité
NEW RAI met en œuvre les mesures de sécurité visées à l’article 6.2.
- Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, NEW RAI restitue au Client l’intégralité de ses données sur disque dur et procède à la destruction totale de toutes copies existantes.
- Délégué à la protection des données
Le Délégué à la Protection des Données est la société THELYS AVOCATS, société civile professionnelle, immatriculée au Registre du commerce et des sociétés de Marseille sous le numéro B 819 166 190, dont le siège est situé 35, rue Saint Jacques 13006 MARSEILLE, prise en la personne de Mme Diane PINARD en sa qualité de cogérante. Il peut être contacté par email à l’adresse pinard@thelys-avocats.fr.
- Registre des catégories d’activités de traitement NEW RAI déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client conformément à l’article 30.2 du Règlement.
- Documentation
NEW RAI met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations. Tout audit que le Client souhaiterait éventuellement mener ne pourra être réalisé qu’avec l’accord écrit et préalable de New rai, aux frais exclusifs du Client.
4.4. Obligations du Client vis-à-vis de NEW RAI
Le Client s’engage à :
- documenter par écrit toute instruction concernant le traitement des données par New rai,
- veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le Règlement.
Le Client sera en conséquence tenu de relever et garantir New rai contre toute action qui serait engagée par un tiers au titre d’une violation du Règlement, du fait du Client. Dans une telle hypothèse, le Client serait tenu de
rembourser à New rai l’ensemble des frais de procédure (frais d’avocat, d’huissier de justice, d’expertise, de greffe, et autres…).
ARTICLE 5 – DONNEES A CARACTERE PERSONNEL STOCKEES PAR NEW RAI POUR LE COMPTE DE SES CLIENTS ENTREPRISES
5.1. Qualité de sous-traitant de NEW RAI au sens du RGPD
Au sens du Règlement UE n°2016/679 du 27 avril 2016 dit
« Règlement Général sur la Protection des Données (RGPD) » (ci-après « le Règlement »), NEW RAI a la qualité de sous-traitant pour les données à caractère personnel qu’il stocke et auxquelles il accède pour le compte du Client.
Le Client a quant à lui la qualité de responsable de traitement pour les données qu’il collecte au sein de son entreprise pour son propre compte.
En signant la présente Politique de Confidentialité, le Client autorise NEW RAI à traiter les données à caractère personnel fournies par le Client, dans les conditions définies ci-après.
5.2. Description des traitements sous-traités à NEW RAI
NEW RAI héberge l’ensemble des données qui lui sont transmises par le Client et assure la fourniture et la maintenance de l’application.
Le traitement a pour finalité l’hébergement des données à caractère personnel fournies par le Client dans le cadre de la tenue de sa comptabilité et du suivi de ses obligations comptables, fiscales, sociales et juridiques. NEW RAI assure le stockage des données et la maintenance des logiciels fournis au Client dans le cadre du contrat. NEW RAI réalise donc les opérations suivantes : stockage des données sur des serveurs et toutes opérations techniques et de support en lien avec la sécurisation, la récupération ou la suppression des données.
Les données à caractère personnel traitées sont tous les emails du Client et toutes les données que le Client est susceptible de collecter au sein de son entreprise pour la tenue de sa comptabilité (saisie comptable, établissement du bilan, du compte de résultat et des annexes), l’établissement de ses déclarations fiscales et sociales, l’établissement des bulletins de salaires et le suivi de l’exécution des contrats de travail, l’établissement d’actes juridiques (statuts PV d’assemblée et autres).
Les catégories de données à caractère personnel susceptible d’être stockées par NEW RAI sont donc notamment, et sans que cette liste soit limitative, :
- État-civil (nom, prénom, date et lieu de naissance, nationalité, adresse postale), numéro de téléphone, adresse email, photographies)
- Carte grise et permis de conduire,
- Situation familiale et matrimoniale
- Informations d’ordre économique et financier (revenus, situation financière, données bancaires, numéro fiscal, taux d’imposition)
- Arrêts maladie, comptes-rendus de visite de la médecine du travail, existence et nature d’un handicap,
- Données de connexion (ex. adresses Ip, logs, identifiants des terminaux, identifiants de connexion, informations d'horodatage, etc.)
- Données de localisation (déplacements professionnels, contrôles des accès aux locaux ou aux réseaux et applications)
- Internet (ex. cookies, traceurs, données de
navigation, mesures d’audience, …)
- Numéro de sécurité sociale
Les catégories de personnes concernées sont : tous les utilisateurs du logiciel NEW RAI.
5.3. Obligations de NEW RAI vis-à-vis du Client :
NEW RAI s'engage à :
- traiter les données uniquement pour la finalité objet du présent contrat, à savoir l’hébergement des données collectées par le Client au sein de son entreprise dans le cadre de ses obligations comptables, fiscales, sociales et juridiques ;
- traiter les données conformément aux instructions écrites du Client. Si NEW RAI considère qu’une instruction constitue une violation du Règlement ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Client. En outre, si NEW RAI est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ;
- garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat ;
- veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
- s’engagent à respecter la confidentialité,
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
- prendre en compte, s’agissant de ses outils, produits,
applications ou services, les principes de protection des
données dès la conception et de protection des données par défaut ;
- Sous-traitance
NEW RAI pourra faire appel à un autre sous-traitant (ci- après, « le sous-traitant ultérieur ») pour assurer l’hébergement des données ou la maintenance des logiciels et des serveurs. La liste des sous-traitants peut être fournie sur simple demande.
NEW RAI s’assurera que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement.
- Droit d’information des personnes concernées
Il appartient au Client de demander à ses propres clients de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
- Exercice des droits des personnes
Dans la mesure du possible, NEW RAI doit aider le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès de NEW RAI des demandes d’exercice de leurs droits, NEW RAI doit adresser ces demandes dès réception au Client, par courrier électronique au Délégué à la Protection des Données.
- Notification des violations de données à caractère personnel
NEW RAI notifiera par écrit au Client toute violation de données à caractère personnel dans un délai les plus brefs délais de façon à permettre au Client de notifier la violation à la CNIL dans les 72 heures. Cette notification sera accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
- Mesures de sécurité
NEW RAI met en œuvre les mesures de sécurité visées à l’article 6.2.
- Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, NEW RAI restitue au Client l’intégralité de ses données sur disque dur et procède à la destruction totale de toutes copies existantes.
- Délégué à la protection des données
Le Délégué à la Protection des Données est la société THELYS AVOCATS, société civile professionnelle, immatriculée au Registre du commerce et des sociétés de Marseille sous le numéro B 819 166 190, dont le siège est situé 35, rue Saint Jacques 13006 MARSEILLE, prise en la personne de Mme Diane PINARD en sa qualité de cogérante. Il peut être contacté par email à l’adresse pinard@thelys-avocats.fr.
- Registre des catégories d’activités de traitement NEW RAI déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client conformément à l’article 30.2 du Règlement.
- Documentation
NEW RAI met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations. Tout audit que le Client souhaiterait éventuellement mener ne pourra être réalisé qu’avec l’accord écrit et préalable de New rai et aux frais exclusifs du Client.
5.4. Obligations du Client vis-à-vis du Prestataire
Le Client s’engage à :
- documenter par écrit toute instruction concernant le traitement des données par New rai
- veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le Règlement.
Le Client sera en conséquence tenu de relever et garantir New rai contre toute action qui serait engagée par un tiers au titre d’une violation du Règlement, du fait du Client. Dans une telle hypothèse, le Client serait tenu de rembourser à New rai l’ensemble des frais de procédure (frais d’avocat, d’huissier de justice, d’expertise, de greffe, et autres…).
ARTICLE 6 – DISPOSITIONS APPLICABLES A L’ENSEMBLE DES TRAITEMENTS
6.1. Transfert de données personnelles
Toutes les données personnelles transmises à NEW RAI sont stockées exclusivement en France et ne sont en aucun cas transférés hors de l’Union Européenne.
En cas de recours à des partenaires situés hors de l’Union Européenne, NEW RAI s’engage à vérifier que des mesures appropriées ont été mises en place afin que les données personnelles des utilisateurs bénéficient d’un niveau de protection adéquat.
Les données personnelles collectées par NEW RAI ne sont en aucun cas commercialisées auprès de tiers sans
l’autorisation expresse et préalable des personnes
concernées.
6.2. Sécurité des données
NEW RAI a mis en place des mesures techniques et organisationnelles pour assurer un niveau de protection des données adéquat par rapport à leur nature et par rapport à la finalité des traitements.
En particulier, NEW RAI :
- Soumet son personnel à une obligation de confidentialité ;
- Sensibilise les personnes manipulant les données et a rédigé une charte informatique ayant force contraignante ;
- A mis en place des moyens d’authentification des utilisateurs (identifiants uniques, politique de mot de passe, obligation de changer de mot de passe après réinitialisation, limitation de tentatives d’accès à un compte) ;
- Gère les profils d’habilitation (définition de profils d’habilitation, suppression des permis d’accès obsolètes, revue annuelle des habilitations) ;
- Trace les accès et gère les incidents (procédures de notifications de violation de données à caractère personnel) ;
- Sécurise les postes de travail (procédure de verrouillage automatique de session, antivirus mis à jour, firewall, recueil de l’accord de l’utilisateur avant toute intervention sur son poste) ;
- Sécurise l’informatique mobile (moyens de chiffrement des équipements mobiles) ;
- Protège le réseau informatique interne (limitation des flux réseau au strict nécessaire, sécurisation des accès distants des appareils informatiques nomades par VPN, protocole WPA2 ou WPA2-PSK pour les réseaux Wi-fi) ;
- Sécurise les serveurs (limitation de l’accès aux outils et interfaces d’administration aux seules personnes habilitées, installation sans délai des mises à jour critiques, disponibilité des données assurée) ;
- Sécurise les sites web (aucun mot de passe ou identifiant ne passe dans les url) ;
- Sauvegarde et prévoit la continuité d’activité (sauvegardes régulières, stockage des supports de sauvegarde dans un endroit sûr, moyens de sécurité pour le convoyage des sauvegardes, tests réguliers de la continuité d’activité) ;
- Archive de manière sécurisée (modalités d’accès spécifiques aux données archivées, destruction des archives obsolètes de manière sécurisée) ;
- Encadre la maintenance et la destruction des données (effacement des données de tout matériel avant sa mise au rebut) ;
- Gère la sous-traitance (clauses spécifiques dans les contrats des sous-traitants, conditions de restitution et de destruction des données, effectivité des garanties prévues assurée) ;
- Sécurise les échanges avec d’autres organismes (chiffrement des données avant envoi, vérification qu’il s’agit du bon destinataire, transmission du secret lors d’un envoi distinct et via un canal différent) ;
- Protège les locaux (restriction d’accès aux locaux au moyen de portes verrouillées, alarmes anti-intrusion vérifiées périodiquement) ;
- Encadre les développements informatiques (paramètres respectueux de la vie privée des utilisateurs finaux, absence de zones de commentaires) ;
- Utilise des fonctions cryptographiques (conservation sécurisée des secrets et clés cryptographiques).
Il est toutefois rappelé au Client que l’obligation de sécurisation trouve sa limite dans l’état de la technique et qu’elle n’est qu’une obligation de moyens, NEW RAI ne pouvant garantir à 100 % l’absence d’atteintes aux données stockées.
6.3. Assurance
NEW RAI déclare être assurée pour le risque d’atteinte à des données personnelles, auprès d’une compagnie d’assurances notoirement solvable. NEW RAI fournira une attestation d’assurance au Client, sur simple demande écrite de celui-ci.
- MODIFICATION DE LA PRESENTE POLITIQUE DE CONFIDENTIALITE
NEW RAI se réserve la possibilité de modifier à tout moment la présente Politique de Confidentialité. En cas de modification, la nouvelle version sera envoyée par email au Client pour signature.