Politique de confidentialité / Charte R.G.P.D.

Qui sommes-nous ?

Fenritec
Société par actions simplifiée au capital de 30 000,00 €

Adresse
3 Allée des Lilas
54650 Saulnes
France

SIREN: 894 082 031 RCS Val de Briey

1. Glossaire

Client : personne morale ou physique inscrite dans l’un des système d’information de Fenritec.

Contrat : ensemble contractuel formalisé par écrit ou non dont la présente Charte fait partie intégrante.

Donnée(s) Personnelle(s) ou Donnée(s) à Caractère Personnel ou Donnée(s) : information relative à une personne physique, identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un nom, un numéro d’identification, ou à un ou plusieurs éléments qui lui sont propres, telle que définie par la Réglementation, y compris les métadonnées.

Personne Concernée : personne physique à laquelle sont relative les Données Personnelles.

Prestation : prestation(s) confiée(s) au Prestataire par le Client au titre du Contrat.

Parties : le Client et le Prestataire tels que définis dans le Contrat.

Prestataire : personne morale ou physique pouvant être amenée à participer à un Traitement de Données Personnelles en relation avec le Contrat.

Réglementation : désigne l’ensemble des lois et règlements applicables en France en matière de protection des Données Personnelles, y compris la loi dite « Informatiques et Libertés » n°78-17 du 6 janvier 1978 modifiée en 2004, le R.G.P.D. et leurs textes subséquents.

R.G.P.D. : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données applicables à compter du 25 mai 2018.

Traitement : toute(s) opération(s) ou tout ensemble d’opérations concernant les Données Personnelles, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ou toute opération désignée comme « Traitement » par la Réglementation.

Violation des Données Personnelles : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données.

2. Objet

La présente Charte définit les conditions dans lesquelles Fenritec peut réaliser des Traitements dans le cadre de l’exécution du Contrat, qu’il s’agisse (i) de Données Personnelles obtenues auprès du Client ou (ii) de données collectées auprès de tiers ou directement auprès des Personnes Concernées.

La présente Charte entre en vigueur dès l’inscription auprès d’un service Fenritec et à défaut dès réception de toutes « Données Personnelles » ou accès aux dites « Données par le Prestataire » ou par toute personne agissant pour son compte et demeure applicable jusqu’au terme du ou des Traitements, matérialisé par la suppression définitive des « Données Personnelles », dans les conditions prévues à la présente Charte, ou à défaut avec l’accord préalable, exprès et écrit du responsable de Traitement au sens de la Réglementation.

La Charte prévaudra le cas échéant, sur tous les autres documents contractuels encadrant le Traitement de Données personnelles signés ou même simplement échangés entre les Parties.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).

3. Respect des finalités

Fenritec traite les Données exclusivement dans le cadre des finalités définies au Contrat ou rendues nécessaires par son exécution, et doit respecter les obligations qui lui incombent en vertu de la Réglementation et de la Charte.

Fenritec fait respecter la présente Charte par son personnel et par ses propres sous-traitants ou responsables conjoints.

Il fournira la liste des sous-traitants ou responsables conjoints intervenant dans le Traitement au Client, à première demande de celui-ci.

A la date du document, Fenritec délègue l’hébergement de ses infrastructures informatiques (centres de données) à :
· OVH S.A.S. immatriculée au RCS de Lille Métropole 424 761 419.
· Scaleway S.A.S. immatriculée au RCS de Paris 433 115 904

Fenritec se réserve le droit d’ajouter d’autres prestataires d’hébergement à cette liste dès lors que la société mère principale a son siège social en France ou en Union Européenne et est soumise au R.G.P.D. Dès lors qu’un tel changement sera effectué, le client devra en être notifié.

4. Règles d’utilisation des « Données Personnelles »

4.1. Règlement sur les Données Personnelles

Fenritec (i) reconnait avoir connaissance de la Règlementation applicable au jour de la signature de la présente Charte, (ii) veille à se tenir informé des modifications de la Règlementation pendant toute la durée de la relation avec le Client et (iii) assure s’y conformer.

En particulier, Fenritec déclare :
· avoir désigné un délégué à la protection des données (« DPO ») et s’engage à indiquer son nom au Client et à l’autorité de contrôle lorsque la Réglementation lui en fait l’obligation;
· avoir crée un formulaire de contact dédié à toute question ou réclamation relative aux « Données Personnelles » afin répondre au demandes du Client ;
· tenir à jour un registre pour toutes les catégories de Traitements des Données Personnelles effectués pour le compte Client avec la description des mesures de sécurité techniques et organisationnelles.

A la date du 21 juillet 2021, le DPO est Mr Nicolas Philippe Schwartz.

4.2 Finalité du traitement

Fenritec s’interdit d’utiliser les Données Personnelles traitées à des fins autres que celles attendues et spécifiées dans le contrat Client et la présente charte.

4.3 Confidentialité des Données Personnelles

Fenritec prend toutes les précautions utiles afin de préserver la confidentialité des Données Personnelles, et s’interdit notamment de :
· Copier des documents et supports d’information qui lui sont confiés, à l’exception de ceux nécessaires aux Traitements des Données Personnelles, auquel cas, le Prestataire en informe le Client,
· Divulguer les Données Personnelles à d’autres personnes, qu’il s’agisse de personnes privées ou publiques, physiques ou morales sauf sur demande de tiers autorisés selon une démarche officielle justifiée, et uniquement après en avoir vérifié les bases légales et informé le Client,
· Céder, louer, transmettre, ou mettre à disposition d’un tiers, à quelque titre et pour quelque motif que ce soit, les Données Personnelles qui lui sont remises par le Client ou par un tiers sur ordre du Client.

4.4. Intégrité et sécurité des Données Personnelles

4.4.1. Mesures de sécurité

Conformément à la Réglementation, Fenritec s’engage à prendre toutes mesures de sécurité et toutes les précautions utiles, pour assurer la sauvegarde, la conservation et l’intégrité des « Données Personnelles » traitées tant au niveau des flux que dans ses bases de données et systèmes de fichiers.

Parmi ces mesures, Fenritec mettra en place et maintiendra pendant toute la durée du Contrat tous les moyens techniques, logiques, organisationnels, physiques de sécurité permettant de garantir aux Traitements des Données Personnelles mis en œuvre un niveau de sécurité adapté au risque et conformes à l’état de l’art, permettant entre autres, selon les besoins de :
· pseudonymiser et chiffrer les Données Personnelles;
· garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
· rétablir la disponibilité des Données Personnelles et les Traitements dans des délais appropriés en cas d’incident physique ou technique;
· tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ;
· préserver et garantir la sécurité des accès et interfaces en cas d’accès ou d’échange avec le Système d’Information du client ;
· empêcher que les Données Personnelles ne soient déformées, utilisées de manière détournée ou frauduleuse, endommagées ou communiquées à des personnes non autorisées.

Fenritec déclarera à la CNIL toute faille impliquant un risque majeure et impactant directement un client ou toute violation de données personnelles dont il a été victime, sous un délai de 72 heures maximum après sa détection.

Si l’incident constitue un risque élevé pour la vie privée des personnes concernées, Fenritec notifiera également le client dans les mêmes délais.

Fenritec déclare avoir mis en œuvre et continuer de mettre des mesures techniques et organisationnelles de sécurité afin de garantir un niveau de sécurité adapté aux risques encourus dans le cadre d’une PSSI (Politique de Sécurité des Systèmes d’Informations).

4.4.2 Mesures de contrôle

Le Client se réserve le droit, dans les conditions indiquées ci-après, de procéder à toute vérification qui lui paraîtrait utile via (a) un questionnaire, (b) un audit sur site, (c) un test d’intrusion, pour constater le respect des règles précitées par Fenritec et permettre au Client de réaliser une étude d’impact sur la vie privée des personnes dont les Données Personnelles sont concernées par le Traitement. L’exécution de la demande peut-être soumis à facturation en fonction de la charge de travail demandée.

Pour les questions usuelles, veuillez utiliser la section assistance lorsque vous êtes connectés.

a. Questionnaire

Le Client peut adresser au Prestataire, avant et pendant l’exécution du Contrat, un questionnaire ou un état récapitulatif à compléter, destiné à collecter les informations relatives au Traitement. Cette demande devra être motivée par :

– la compréhension des systèmes d’information et des processus susceptibles d’avoir un impact sur toute Donnée Personnelle ;

– et/ou des besoins de sécurité ou de fiabilité requis pour le Traitement de Données Personnelles.

Fenritec complétera le questionnaire ou l’état récapitulatif de manière sincère et exacte et le retournera au Client dans un délai maximum de trente (30) jours calendaires à compter de sa réception.

b. Audit sur site

Tout au long de l’exécution du Contrat, Fenritec conservera et préservera, selon les règles de l’art, les informations et documents nécessaires pour répondre à une demande d’audit telle que décrite ci-après. Ces informations et documents seront conservés et archivés de manière à ce que le Client puisse au maximum une fois par an, et sous réserve d’un préavis d’au moins trente (30) jours calendaires, mandater tout auditeur tiers indépendant désigné par les Parties afin de procéder à un audit. L’auditeur désigné devra, par déclaration expresse et écrite, signer un engagement de confidentialité.

La mission d’audit portera sur la vérification de la conformité du Traitement aux dispositions de la présente Charte dans l’un des domaines suivants :

  • application des procédures de sécurité et de sauvegarde des Données Personnelles ;
  • contrôle de la sécurité physique et logique des serveurs sur lesquels sont traitées les Données ;
  • traçabilité des flux de Données Personnelles et localisation de leurs sites d’hébergement, de sauvegarde et de traitement.

En cas de constat d’anomalies, l’audité s’engage à les corriger, à ses frais, afin de rendre le Traitement conforme à l’état de l’art du moment et à la Réglementation applicable, sous un délai raisonnable.

4.5. Transfert des Données Personnelles

Sauf autorisation expresse du Client issues de mise en place de garanties conformes à la Réglementation, aucun transfert, ni Traitement de Données Personnelles hors de l’Union Européenne effectué par Fenritec en ce compris l’hébergement, la sauvegarde et l’archivage de la base de données contenant les Données Personnelles ne sera effectué.

Ainsi, les serveurs et tous les outils utilisés dans le cadre du Traitement des Données Personnelles, incluant la console d’administration et d’accès, qui seraient mis en œuvre dans le cadre du Traitement doivent être situés en Union Européenne. A défaut, le Client se réserve le droit de résilier le Contrat avec effet immédiat.

4.6. Durée du Traitement

Fenritec s’interdit de conserver les Données Personnelles non nécessaires à l’exécution des prestations au-delà de la durée raisonnable conforme à la Réglementation. A titre indicatif, Fenritec conserve les journaux de connexion et d’action utilisateur de manière active pendant une durée de 3 mois et fournis sur demande des autorités judiciaires ses archives de journaux pendant une durée de 1 an.

Au-delà de ce délai, et uniquement après avoir restitué au Client les Données Personnelles recueillies dans le cadre du Traitement, Fenritec s’oblige à supprimer les dites données sauf si celles-ci doivent être archivées conformément aux dispositions en vigueur et notamment celles prévues par le code de commerce, le code civil et le code de la consommation.

Le client peut demander à Fenritec de supprimer toutes ses Données Personnelles, conformément au R.G.P.D. Fenritec transmettra un certificat de destruction au Client sous sept (7) jours calendaires suivants ladite opération.

Fenritec se réfère sans délai au Client en cas de doute sur les règles de conservation, et lui fournira toutes les informations nécessaires à une prise de décision rapide.

Boutique:

  • Les informations de facturations (i.e. adresses, nom, prénom, etc.) sont conservées pendant une durée de 10 ans après la clôture de l’exercice comptable courant, conformément aux dispositions légales.

FDrive:

  • Les données définitivement supprimées sont conservées sur nos serveurs pour une durée de 7 jours à 1 mois, afin de permettre à l’utilisateur de faire une demande de restauration;
  • Le système peut utiliser vos documents afin de générer des miniatures supplémentaires dans l’application (ex: prévisualisation de photos, pdf, etc. ) afin d’améliorer l’expérience utilisateur.

Login:

  • Les informations fournies lors de l’inscription sont conservées 3 mois par Fenritec après demande de suppression et disponibles pendant 1 an aux autorités, conformément aux dispositions légales.

4.7. Restitution des Données Personnelles

A tout moment, sur simple demande du Client, Fenritec lui restitue les Données Personnelles, quelque soient leurs supports ainsi que les copies et tout document s’y rapportant et, en particulier (i) la documentation nécessaire à l’exploitation desdites données et (ii) aux Traitements sous réserve des droits de propriété intellectuelle du Prestataire sur lesdits Traitements.

5. Obligation de notifications

5.1 Obligation de notification en cas de manquements aux instructions du Client

Si Fenritec est dans l’incapacité de se conformer aux instructions spécifiées dans le contrat Client pour quelque raison que ce soit, il devra l’informer sans délai, auquel cas ce dernier disposera de la faculté de résilier le Contrat sans indemnité ni préavis si la gravité du manquement le justifie.

5.2 Obligation de notification en cas de manquements du Client à la Réglementation

Si Fenritec considère que les instructions du Client constituent une violation de la Réglementation, il devra en informer le Client sans délai.

5.3 Obligation de notification en cas de Violation de Données Personnelles

En cas de Violation de Données Personnelles, Fenritec s’engage à informer le Client dans les meilleurs délais après en avoir eu connaissance par courrier électronique dans le respect des procédures de notifications prévues aux articles 33 et 34 du R.G.P.D. et en joignant au Client l’ensemble de la documentation utile afin de lui permettre, si nécessaire, de notifier cette Violation de Données Personnelles à l’autorité de contrôle compétente.

S’il n’est pas possible pour Fenritec de fournir toutes les informations simultanément au Client, Fenritec fournira les dites informations progressivement sans délai injustifié.

Néanmoins, Fenritec pourra notifier à l’autorité de contrôle compétente locale (ex: la CNIL en France), la Violation de Données Personnelles dans les meilleurs délais et 72 heures au plus tard après en avoir eu connaissance.

Cette notification réalisée par Fenritec contiendra au moins tous les éléments décrits à l’article 33 du R.G.P.D.

5.4 Obligation de notification en cas de demande des autorités compétentes sur les Traitements

En cas de demande émanant des autorités compétentes portant sur les Traitements, sauf prescription impérative d’ordre public, Fenritec s’engage (i) à informer le Client sans délai et au plus tard dans un délai de quarante-huit (48) heures et (ii) à ne pas transmettre d’informations sans en avoir préalablement échangé avec le Client et obtenu son autorisation expresse.

Fenritec s’engage également à informer le Client de :

  • tout contrôle de son activité relative aux Prestations par une autorité administrative, fiscale et ou judiciaire. Le cas échéant, les résultats d’un tel contrôle devront être communiqués au Client dans les meilleurs délais ;
  • toute demande ou réclamation reçue directement d’une personne dont les Données Personnelles ont fait l’objet d’un Traitement par Fenritec.

Plus généralement, devra être notifiée au Client sans délai toute sanction relative aux modalités de Traitement des Données Personnelles affectant Fenritec ou un sous-traitant Ultérieur.

6. Information du client et collaboration

Fenritec assiste le Client, pendant et après l’expiration du Contrat, dans toute démarche et procédure imposée par la Réglementation, notamment dans les situations suivantes :

  • la réalisation d’une étude d’impact sur la vie privée menée dans le cadre du Traitement ;
  • un contrôle d’une Autorité compétente pour répondre à toute demande de communication d’informations et de justificatifs relatifs au Traitement ou à toute injonction d’actions de mise en conformité à la Réglementation ;
  • une demande d’une personne ou d’un ensemble de personnes qui souhaite exercer son droit d’accès à ses Données Personnelles afin de prendre en compte sous un délai de cinq (5) jours ouvrés les demandes de modification, rectification, de suppression, d’opposabilité et de portabilité de Données Personnelles qui lui auront été adressées directement ou par l’intermédiaire du Client ;
  • une demande d’une personne ou d’un ensemble de personnes qui souhaite exercer son droit de ne pas être soumis à des décisions individuelles automatisées (en ce compris le profilage) ;
  • la notification de toute éventuelle faille de sécurité auprès de l’Autorité compétente.

Si la personne concernée s’adresse au Prestataire pour l’exercice des droits susvisés, celui-ci communiquera, au plus tard le jour ouvrable suivant, au Client la demande formulée par la personne concernée et toutes les informations pertinentes pour résoudre sa demande.

Le fait que Fenritec indique être conforme à un code de conduite au sens de l’Article 40 du R.G.P.D. ou qu’il dispose d’un mécanisme de certification tel que visé à l’Article 42 du R.G.P.D. ne le dispense pas des obligations de la présente Charte.