Politique de Protection des Données à Caractère Personnel
En vigueur à compter du 1er juin 2023
1. DÉFINITIONS
« Contenu » : désigne l’ensemble des articles, textes et vidéos et tout contenu mis à la disposition du public pour leur consultation sur le Site par l’Entreprise.
« Données à Caractère Personnel » ou « Données » : désignent toute donnée permettant d’identifier directement ou indirectement une personne physique, telles que nom, prénom, le pseudonyme, mail, adresse postale, téléphone ;
« Personne Concernée » : toute Donnée se rapportant à une personne physique identifiée ou identifiable ;
« Responsable de Traitement » : désigne la société … (ci-après « L’Entreprise »), déclarée au Registre du Commerce et des Sociétés de … sous le numéro …, dont le siège est situé … prise en la personne de son représentant légal Monsieur Mathieu GAYET, laquelle détermine les finalités et les moyens du Traitement des Données Personnelles ;
« Site » : désigne le site web accessible à l’adresse www.xrmust.com édité par l’Entreprise ;
« Sous-Traitant » : désigne la personne physique ou morale qui traite des Données à Caractère Personnel pour le compte du Responsable du traitement, sur ses instructions et sous son autorité ;
« Terminal » : désigne tout équipement du visiteur permettant d’accéder au Site ;
« Traitement » : désigne toute opération sur les Données à Caractère Personnel, et notamment l’enregistrement, la collecte, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction, sans que cette liste soit exhaustive.
2. INTRODUCTION
Dans le cadre de son activité, l’Entreprise est amenée à traiter des informations vous concernant. Par exemple, en remplissant un formulaire du Site, en naviguant sur notre Site, vous nous transmettez des informations dont certaines sont de nature à vous identifier.
Soucieuse d’être un partenaire de valeur protégeant les données personnelles, l’Entreprise, en qualité de responsable de traitement, a mis en place la présente Politique de protection des données personnelles (ci-après « la Politique »), et s’engage à traiter ces données conformément à ses principes, et conformément aux principes de transparence, de détermination et de légitimité des finalités, d’exactitude, de proportionnalité et de minimisation, de sécurité et de confidentialité, de responsabilité et de protection dès la conception et par défaut.
L’Entreprise s’engage à respecter la législation en vigueur relative aux Données Personnelles, notamment de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée et du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des Données, et adapté en droit français par la loi n° 2018-493 du 20 juin 2018.
La présente Politique vous informe de la manière dont nous recueillons et traitons vos Données.
Nous vous invitons à la lire attentivement.
Important
Nous n’utilisons vos données personnelles que dans les cas prévus par la réglementation en vigueur :
L’exécution d’un contrat que nous avons conclu avec vous ou dans le cadre de relations commerciales entre nous, et/ou
Le respect d’une obligation légale ou règlementaire, et/ou
Votre consentement libre, spécifique et éclairé à l’utilisation de vos Données, et/ou
L’existence d’un intérêt légitime à utiliser vos Données. L’intérêt légitime est un ensemble de raisons commerciales ou d’affaires qui justifie l’utilisation de vos données par l’Entreprise.
3. QUI EST LE RESPONSABLE DES TRAITEMENTS MENTIONNÉS DANS LE PRÉSENT DOCUMENT ?
Le Responsable des Traitements mentionnés par le présent document est la société 27 MARS (ci-après « L’Entreprise »), déclarée au Registre du Commerce et des Sociétés de Bobigny sous le numéro B 897 570 388, dont le siège est situé 20 rue Lazare Carnot 93310 Le Pré Saint Gervais, prise en la personne de son représentant légal Monsieur Mathieu GAYET, laquelle détermine les finalités et les moyens du Traitement des Données Personnelles.
4. QUELLES SONT LES DONNÉES QUE NOUS RECUEILLONS SUR VOUS ET DANS QUELLES CIRCONSTANCES LES COLLECTONS-NOUS ?
4.1. Les données que vous nous transmettez directement
À l’occasion des différents contacts que nous avons avec vous, vous pouvez être amené à nous communiquer des informations qui vous concernent. Elles sont collectées notamment lors de la prise de contact via le formulaire dédié à cet effet présent sur le Site.
Ces données sont notamment :
Nom, prénom
Adresse postale
Adresse email
Numéro de téléphone
L’Entreprise s’engage à limiter la collecte de ces données à leur strict nécessaire. Il est rappelé que celles-ci sont collectées à l’initiative de L’Entreprise. La collecte des Données à Caractère Personnel peut également l’être à l’initiative des personnes concernées.
4.2. Les données que nous recueillons automatiquement
Lors de chacune de vos visites sur notre Site, nous recueillons des informations relatives à votre connexion et à votre navigation. Différentes technologies peuvent être mises en œuvre pour recueillir ces données.
– Données recueillies par des technologies standard d’Internet
Nous sommes également susceptibles d’utiliser des technologies standard d’Internet, tels que des scripts, des pixels et des redirections. Les scripts (parfois appelés tags), écrits en langage javascript, sont des programmes qui s’exécutent dans votre navigateur et effectuent différentes actions, par exemple envoyer une information à nos serveurs. Les scripts sont également capables de créer des pixels. Les pixels (parfois appelées GIFs transparents, GIFs clairs ou Web-bugs) sont des lignes de code qui permettent d’afficher une image graphique (généralement invisible) sur une page Web ou dans un e-mail. Les redirections permettent de rendre une page Web disponible sous plusieurs adresses de page (URL). Lorsqu’un navigateur ouvre une URL de redirection, une page avec une URL différente est ouverte.
Le but de ces technologies est d’améliorer votre expérience sur notre Site.
Ces technologies nous donnent accès notamment aux informations suivantes :
Informations relatives à votre utilisation de notre Site ;
Informations relatives à la présence de cookies sur votre terminal, sur l’heure et la date de consultation d’une page, et une description de la page où la balise Web est mise ;
Informations sur la lecture ou non des e-mails que nous vous adressons, sur les clics que vous faites sur les liens contenus dans ces e-mails.
Notre Site peut également inclure des scripts, des pixels et des redirections de tiers. Ces technologies permettent aux fournisseurs de services tiers de collecter certaines informations telles que votre type de navigateur, et la page Web qui vous a redirigé sur notre Site. Ces fournisseurs de services tiers traitent les informations qu’ils collectent dans un but d’audit, de recherche, et pour déclarer l’information sur notre Site et sur les publicités regardées sur ceux-ci. Nous ne partageons pas vos données d’identification avec ces tiers dans le cadre de leur usage de ces technologies.
5. POUR QUELLES FINALITÉS UTILISONS-NOUS VOS DONNÉES ?
Le présent article vous indique les principales finalités pour lesquelles nous utilisons les données mentionnées à l’article 4 :
Traiter les demandes et communication d’informations, réclamations,
Assurer le support client
Améliorer les Services pour optimiser ou offrir de nouvelles fonctionnalités
Permettre au visiteur d’exercer ses droits décrits à l’article 11 ci-après
6. PENDANT COMBIEN DE TEMPS CONSERVONS-NOUS VOS DONNÉES ?
L’Entreprise a la qualité de Responsable du Traitement et s’engage à respecter les durées de conservation imposées par la réglementation en vigueur.
L’Entreprise applique le principe de limitation de la durée de conservation des données afin de ne conserver les Données à Caractère Personnel que pour la durée strictement nécessaire à la réalisation des finalités du Traitement, étant précisé que ce qui est nécessaire dépend de circonstances spécifiques, telles que des réglementations exigeant de conserver les informations pendant une durée déterminée ou les périodes de prescription pour les contentieux légaux. Lorsqu’un délai de prescription est imposé par la loi, la durée de conservation ne pourra y être inférieure.
Agissant en tant que Responsable de traitement, L’Entreprise s’engage à respecter les durées de conservation imposées par la réglementation en vigueur, notamment en matière de gestion de fichiers clients et de prospection commerciale : les Données à Caractère Personnel ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale.
Vos Données à Caractère Personnel sont conservées pendant une durée conforme aux dispositions légales ou proportionnelles aux finalités pour lesquelles elles ont été collectées. Certaines durées de conservation répondent à l’intérêt légitime du Responsable de Traitement.
Le tableau ci-dessous mentionne les principales durées de conservation de vos données.
En tout état de cause, nous révisons régulièrement les informations que nous détenons. Lorsque leur conservation n’est plus justifiée par des exigences légales, commerciales ou liées à la gestion de votre inscription ou si vous avez fait usage de votre droit à l’effacement, nous les supprimerons de façon sécurisée.
Catégories de Données Finalités Durées de conservation Données relatives à un visiteur Ensemble des données Constitution et gestion d’un fichier de prospects 3 ans à compter de la collecte des données ou du dernier contact Ensemble des données Finalités décrites à l’article 5 Pendant toute la durée de la relation contractuelle
7. QUI EST SUSCEPTIBLE D’AVOIR ACCÈS AUX DONNÉES QUE NOUS RECUEILLONS ?
7.1. Accès aux données de L’Entreprise
Au sein des équipes de L’Entreprise, sont susceptibles d’avoir accès à certaines de vos Données les collaborateurs des services relations clients, administratif, comptabilité et contrôle de gestion, informatique et marketing et commercial, habilités à opérer un Traitement de Données ;
L’accès à vos Données se fait sur la base d’autorisations d’accès individuel et limité. Les personnels pouvant accéder aux Données à Caractère Personnel sont soumis à une obligation de confidentialité (par un engagement nominal et personnel de confidentialité).
7.2. Transmission de données
Sont susceptibles d’avoir accès à certaines de vos Données :
– Les Sous-Traitants
Dans le cadre de ses activités, L’Entreprise fait appel à des Sous-Traitants. L’Entreprise informe par écrit de tout changement concernant l’ajout ou le remplacement de Sous-Traitants.
L’Entreprise fait preuve d’une vigilance particulière dans la sélection des Sous-Traitants qui traitent des Données à Caractère Personnel en son nom. L’Entreprise s’engage à s’assurer que les Sous-Traitants présentent des garanties identiques de confidentialité et de sécurité et que les Traitements opérés par eux soient effectués en conformité avec la règlementation en vigueur, et notamment le RGPD.
Nos Sous-Traitants assurent des prestations pour notre compte, notamment :
Hébergement du Site ;
Gestion des données de connexion / déconnexion ;
Hébergement des images / fichiers consultables ;
Hébergement de la base de données ;
Sécurisation des paiements en ligne et lutte contre la fraude ;
Gestion des envois de courriers numériques ;
Personnalisation des contenus du Site ;
Réalisation d’opérations de maintenance et de développements techniques ;
Fourniture de solutions analytiques ou de statistiques de mesure d’audience ;
L’accès de nos Sous-Traitants à vos Données se fait sur la base de contrats signés faisant mention des obligations leur incombant en matière de protection, de sécurité et de la confidentialité des Données. Nous nous assurons que nos Sous-Traitants opèrent un ou des Traitements de Données conformes à la présente Politique.
Dans certaines hypothèses, L’Entreprise peut être amenée à divulguer des Données à Caractère Personnel à des tiers, tels que des organismes publics ou des autorités judiciaires, et ce notamment afin de se conformer à la règlementation en vigueur et de respecter ses obligations légales.
– Les plateformes de réseaux sociaux
L’utilisation des réseaux sociaux pour interagir avec notre Site (notamment les boutons d’accès à nos pages Instagram, Discord, Twitter) est en effet susceptible d’entraîner des échanges de données entre L’Entreprise et ces réseaux sociaux. Par exemple, si vous êtes connecté au réseau social Facebook et que vous consultez une page de notre Site, Facebook est susceptible de collecter cette information.
Nous vous invitons donc à consulter les politiques de gestion des données personnelles des différents réseaux sociaux pour avoir connaissance des collectes et traitements qu’ils effectuent sur vos données.
– Les autorités de police, autorités judiciaires ou administratives
Lorsque nous avons l’obligation légale de le faire ou afin de garantir les droits, les biens et la sécurité de L’Entreprise.
8. VOS DONNÉES SONT-ELLES TRANSFÉRÉES EN DEHORS DE L’UNION EUROPÉENNE ?
Nous conservons vos Données à Caractère Personnel dans l’Union européenne.
Toutefois, il est possible que, dans le cadre de certaines de nos missions et de manière marginale, les Données que nous recueillons lorsque vous utilisez nos plates-formes ou dans le cadre de nos services soient transférées à des Sous-Traitants ou partenaires commerciaux situés dans d’autres pays.
En cas de recours à des Sous-Traitants ou partenaires commerciaux situés en dehors de l’Union européenne, et lorsque le pays au sein duquel les Données personnelles sont transférées n’a pas été qualifié par la Commission européenne comme étant un pays disposant d’une niveau de protection adéquat des Données Personnelles, L’Entreprise s’engage à vérifier que des mesures appropriées ont été mises en place afin de s’assurer que vos Données Personnelles bénéficient d’un niveau de protection adéquat et que des mesures de sécurité techniques et organisationnelles sont mises en place.
De plus, L’Entreprise s’assure que les relations avec les Sous-Traitants ou partenaires commerciaux en question soient encadrés par la signature de clauses contractuelles types de la Commission européenne, qui permettent de garantir un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes.
L’Entreprise ne transférera les Données à Caractère Personnel des personnes concernées qu’à des tiers s’étant engagés par écrit à fournir un niveau de protection adéquat.
9. COMMENT VOS DONNÉES SONT-ELLES PROTÉGÉES ?
En tant que Responsable de Traitements, nous mettons en œuvre des mesures techniques et organisationnelles appropriées conformément aux dispositions légales applicables, pour protéger vos Données à Caractère Personnel contre toute violation.
Constitue une violation des Données au sens du RGPD une violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à Caractère Personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données.
Conformément à la règlementation en vigueur, L’Entreprise s’engage à respecter les principes de sécurité, de confidentialité et d’intégrité des Données à Caractère Personnel collectées auprès des visiteurs du Site.
Article 9.1 Confidentialité
L’Entreprise s’engage à préserver la confidentialité des Données à Caractère Personnel à l’égard de son personnel, de ses collaborateurs et de toute personne susceptible d’y avoir accès.
Le personnel de L’Entreprise habilité à avoir accès aux Données à Caractère Personnel s’engage à respecter la confidentialité et est susceptible d’être soumis à une obligation légale ou contractuelle de confidentialité. De même, le personnel habilité a reçu la formation nécessaire en matière de protection des Données à Caractère Personnel.
Fidèle à ses valeurs, et lorsque cela est justifié, L’Entreprise peut être amenée à proposer une limitation des Données à Caractère Personnel collectées, une anonymisation de ces Données ou à recourir à la pseudonymisation.
Article 9.2 Mesures de sécurité mises en œuvre
L’Entreprise met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
L’Entreprise s’appuie sur la combinaison de plusieurs niveaux de sécurité. Les mesures peuvent être humaines, physiques ou logiques afin de contribuer à la sécurité de ses systèmes d’information.
En termes de sécurité humaine , les mesures mises en place par L’Entreprise sont notamment :
Des sessions de formation afin de sensibiliser le personnel de L’Entreprise aux connaissances fondamentales en matière de protection des données à caractère personnel en général et du RGPD en particulier ;
Un accompagnement des équipes par un cabinet d’avocats spécialisé, en contact régulier avec le personnel de L’Entreprise.
En termes de sécurité physique , les mesures mises en place par L’Entreprise sont notamment :
Un accès restreint du personnel de l’informatique administrateur des serveurs ou ayant des opérations de maintenance à réaliser ;
Une gestion des privilèges : seuls les administrateurs peuvent configurer un ordinateur ou un serveur. L’Entreprise met en place une ségrégation des rôles d’administrateurs ;
Des composants de sécurité périmétrique de type firewalls, proxy et reverse proxy filtrent les accès aux ressources de L’Entreprise.
En termes de sécurité logique , les mesures mises en place par L’Entreprise sont notamment :
Le paramétrage des ordinateurs, serveurs et téléphones portables selon un protocole identique qui tient compte des dernières versions des éditeurs ;
La protection des serveurs et ordinateurs via un anti-virus, régulièrement mis à jour ;
Le chiffrage de tous les disques durs des ordinateurs portables des collaborateurs.
L’Entreprise entend privilégier le stockage des Données au sein de l’Union européenne ou, à tout le moins, des solutions de stockage dans des pays hors Union européenne présentant des garanties suffisantes, et ce en conformité avec la législation en vigueur.
Les conseils juridiques de L’Entreprise sont systématiquement associés aux nouveaux projets informatiques susceptibles de modifier les traitements de Données à Caractère Personnel : création de nouvelles fonctionnalités, changement de solution logicielle, changement de support d’hébergement des Données à Caractère Personnel, etc. Cette organisation favorise le déploiement du principe du « Privacy by design ».
10. SITES WEB TIERS
Le Site peut contenir des liens, notamment hypertextes, et/ou des offres de partenaires renvoyant vers un site web tiers.
L’Entreprise n’exerce aucun contrôle sur le contenu des sites web tiers ou sur les pratiques de ces tiers en matière de protection des Données à Caractère Personnel qu’ils pourraient recueillir et décline toute responsabilité relative à ces contenus. Il est de votre responsabilité de vous renseigner sur les politiques de protection des Données à Caractère Personnel de ces tiers.
11. QUELS SONT VOS DROITS ?
Conformément au Règlement (UE) 2016/679 relatif à la protection des Données à Caractère Personnel, dit RGPD adapté en droit français par la loi n° 2018-493 du 20 juin 2018, et à la loi n°78-17 du 6 janvier 1978 dite Loi informatique et libertés, vous disposez des droits suivants sur vos Données :
L’Entreprise s’engage à informer les visiteurs du Site de la collecte et de l’utilisation des Données à Caractère Personnel et ainsi à produire une information claire, transparente et accessible sur les conditions et modalités de la collecte et du Traitement des Données à Caractère Personnel.
Vous disposez d’un droit d’accès permettant d’obtenir des informations sur l’existence d’un Traitement et de ses modalités.
Vous disposez également du droit d’obtenir une copie de ses Données, en en faisant la demande suivant les modalités définies infra .
Vous pouvez solliciter L’Entreprise afin de procéder à la rectification de vos Données, notamment lorsque celles-ci ne sont plus à jour.
L’Entreprise pourra, le cas échéant, opposer à la demande un intérêt légitime ou des motifs impérieux lorsque la législation applicable le prévoit.
DROIT À L’EFFACEMENT (« DROIT À L’OUBLI »)
Sous réserve de la règlementation en vigueur, et notamment des exceptions (par exemple, en matière de conservation nécessaire au respect d’une obligation légale), vous pouvez réclamer l’effacement des Données à Caractère Personnel qui vous sont relatives :
Lorsque les Données à Caractère Personnel ne pas ou ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou autrement traitées ;
Lorsque vous retirez le consentement sur lequel est fondé le traitement et qu’aucun autre fondement juridique au Traitement n’existe ;
Lorsque vous estimez que le Traitement de vos Données à Caractère Personnel constitue un traitement illicite ;
Lorsque les Données à Caractère Personnel doivent être effacées en vertu d’une obligation légale prévue par le droit de l’Union ou le droit de l’État membre auquel L’Entreprise est soumise, soit la France ;
Lorsque vous vous êtes opposé au Traitement des Données et que L’Entreprise n’a pas de motif légitime ou impérieux pour refuser votre demande.
L’Entreprise sera seule décisionnaire du bien-fondé des demandes et pourra, le cas échéant, opposer à la demande un intérêt légitime ou des motifs impérieux lorsque la législation applicable le prévoit.
Par exemple, L’Entreprise peut valablement s’opposer à la destruction des Données contenues dans les documents comptables, leur durée de conservation étant fixée par la loi.
Vous avez le droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un Traitement de Données à Caractère Personnel vous concernant.
Le droit d’opposition est limité par notamment l’intérêt légitime de L’Entreprise à traiter les Données à Caractère Personnel et autres exigences légales – comme les motifs impérieux.
Vous avez le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques les concernant ou les affectant de manière significative de façon similaire.
DROIT À LA LIMITATION DU TRAITEMENT
Sous certaines conditions, vous pouvez obtenir du Responsable du Traitement, et donc deL’Entreprise, la limitation des Traitements de vos Données :
Lorsque l’exactitude des Données à caractère personnel vous concernant est contestée, et ce pendant une durée permettant à L’Entreprise de vérifier l’exactitude des Données ;
Lorsque le Traitement est illicite et que vous vous opposez à l’effacement de vos Données et exigez, en lieu et place, la limitation du Traitement ;
Lorsque les Données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées mais que vous en avez besoin pour la constatation, l’exercice ou la défense de droits en justice ;
Lorsque vous vous opposez au Traitement qui serait fondé sur l’intérêt légitime de L’Entreprise, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par L’Entreprise prévalent sur les vôtres.
Vous pouvez obtenir auprès de L’Entreprise les Données à Caractère Personnel précédemment fournies à L’Entreprise dans un format structuré, couramment utilisé et lisible par machine.
Au titre du droit à la portabilité, vous pouvez également transmettre ces Données à un autre Responsable de Traitement ou demander à ce que les Données à Caractère Personnel vous concernant soient directement transmises par L’Entreprise à un autre Responsable de Traitement, si cela est techniquement possible.
DROIT DE RETRAIT DU CONSENTEMENT
Vous pouvez, en utilisant les moyens mis en œuvre par L’Entreprise à cet effet, retirer votre consentement à tout moment lorsque vos Données à Caractère Personnel sont traitées sur la base de celui-ci.
Le retrait du consentement ne vaut que pour l’avenir, et ne saurait donc remettre en cause la licéité du traitement effectué avant ce retrait.
DROIT DE DÉCIDER DU SORT DES DONNÉES APRÈS LA MORT
Enfin, vous disposez de la faculté de donner des directives sur son sort après son décès.
DROIT D’INTRODUIRE UNE RÉCLAMATION AUPRÈS D’UNE AUTORITÉ DE CONTRÔLE
Si vous estimez que vos droits ne sont pas respectés, vous bénéficiez de la faculté d’introduire une réclamation auprès d’une autorité de contrôle, telle que la Commission Nationale Informatique et Libertés en France.
Les visiteurs du Site peuvent exercer leur droit d’accès, de rectification, d’effacement, d’opposition et de limitation du traitement ou de la portabilité des Données auprès de L’Entreprise, en adressant une demande par email à la personne désignée pour la protection des Données à l’adresse électronique suivante
L’Entreprise pourra demander la communication de la copie d’une pièce justificative d’identité dans tous les cas où elle considère que votre identité n’est pas suffisamment établie, ou qu’il existe ou peut exister un doute raisonnable sur l’identité du demandeur. Le niveau des vérifications effectuées par L’Entreprise lors du traitement des demandes d’exercice de droits variera en fonction de la nature des demandes, de la sensibilité des informations communiquées et du contexte dans lequel la demande est effectuée.
L’Entreprise s’engage à répondre à toute demande dans les meilleurs délais, et en tout état de cause dans un délai d’un (1) mois à compter de la réception de la demande complète. Ce délai peut néanmoins être prorogé de deux (2) mois compte tenu de la complexité et du nombre de demandes.
Le cas échéant, les visiteurs du Site et les personnes concernées ont la possibilité d’introduire une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL), par voie postale ou par voie électronique sur le site www.cnil.fr .