Politique de confidentialité solution E.M.I.L
OPTIMERGO – POLITIQUE DE CONFIDENTIALITE SOLUTION E.M.I.L
PROTECTION DES DONNEES A CARACTERE PERSONNEL
Applicables à compter du 1er août 2022
Références : OPTI-PDC202201
Définitions :
« CLIENT » : désigne le client tel qu’identifié dans le Devis.
« Compte » : désigne le compte créé par le CLIENT sur la SOLUTION, où sont insérées les Données.
« Contrat » : désigne l’ensemble contractuel formé par les présentes CGS, le Devis et les CGU.
« Données » : désigne les données à caractère personnel, telles que définies par la loi, du CLIENT et transmises par celui-ci au Responsable de traitement.
« Solution » : désigne la solution EMIL et ses modules ou produits (y compris logiciels) annexes accessible via les moyens décrits dans la documentation.
« Utilisateurs » : désigne toute personne physique dont les Données sont insérées dans la SOLUTION par le CLIENT ou par tout tiers, dans le Compte du CLIENT.
Article 1 : Dispositions générales et acceptation de la politique de confidentialité
1.1 La présente politique de confidentialité s’applique aux traitements de données à caractère personnel réalisées par la société OPTIMERGO, société par action simplifiée au capital de 15.000 euros, immatriculée au registre du commerce et des sociétés de Chambéry sous le numéro 887 581 346, dont le siège social est situé 19 boulevard Mer Caspienne- 73370 LE BOURGET-DU-LAC, représentée par sa Présidente en exercice, dûment habilitée aux fins des présentes, (ci-après « le RESPONSABLE DE TRAITEMENT »), dans le cadre de l’exploitation de la SOLUTION.
1.2 La présente politique de confidentialité a pour objet de définir et d’informer les Utilisateurs de la manière dont le Responsable de traitement collecte, utilise et protège les données à caractère personnel des Utilisateurs (ci-après « les Données »), conformément à la Loi Informatique et Libertés du 16 janvier 1978 modifiée et du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel (« RGPD »). La Loi et le RGPD sont dénommés ensemble « la Réglementation Applicable ».
1.3 Le Responsable de traitement se réserve le droit de modifier la présente Politique de confidentialité, à sa discrétion ou en vue de se conformer aux évolutions législatives, réglementaires, jurisprudentielles ou technologiques.
Dans cette hypothèse, la date de modification apparaitra clairement en tête de la politique de confidentialité.
Il appartient donc à l’Utilisateur de consulter régulièrement la présente Politique de confidentialité afin de prendre connaissance des éventuelles modifications.
1.4 Toute utilisation de la SOLUTION vaut acceptation de la présente Politique de confidentialité par le CLIENT.
Article 2 : Engagements des Parties
2.1 Chaque Partie respectera les engagements prévus dans le présent article et veillera à ce que son personnel permanent ou temporaire et chacun de ses sous-traitants ou partenaires respectent ses termes.
A ce titre, dès lors que le RESPONSABLE DE TRAITEMENT, dans le cadre de la fourniture des Services telles que prévues au présent Contrat, est amené à traiter des données personnelles, au sens de la loi applicable, du CLIENT et/ou des Utilisateurs (ci-après « les Données »), le RESPONSABLE DE TRAITEMENT s’engage à :
- respecter les lois et réglementations applicables en matière de protection des données personnelles, et notamment le Règlement européen de 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données (ci-après « RGPD ») et la Loi Informatique et Libertés du 16 janvier 1978, dans sa dernière version.
- traiter de telles Données uniquement si cela est requis pour l’exécution des finalités listées ci-après et tel qu’autorisé ou exigé par la loi ;
- garder les Données strictement confidentielles ;
- prendre les mesures de sécurité organisationnelles, physiques et techniques appropriées afin de protéger les Données ;
- n’effectuer de transfert des Données en-dehors de l’Union européenne qu’avec l’autorisation préalable du CLIENT et dans un cadre sécurisé conformément aux exigences de la législation applicable, c’est-à-dire soit vers un pays présentant un niveau de protection dit adéquat au sens des autorités européennes de protection des données personnelles, et notamment la CNIL.
2.2 Le CLIENT demeure « responsable du traitement » au sens de la réglementation applicable, des données personnelles qu’il détient et, qu’il peut être amené à fournir ou à fournir l’accès au RESPONSABLE DE TRAITEMENT pour l’exécution du présent Contrat.
Article 3 : Données collectées et Traitements
3.1 Finalités des traitements : le CLIENT détermine sous sa responsabilité les finalités des traitements confiés au RESPONSABLE DE TRAITEMENT, lesquelles sont les suivantes :
- exécution du Contrat
3.2 Nature des opérations :
- hébergement des Données
- formation des Utilisateurs
- maintenance corrective et évolutive de la SOLUTION
- restitution des Données
3.3 Catégories des données personnelles à traiter : les données personnelles que le RESPONSABLE DE TRAITEMENT sera amené à manipuler concernent les Données du CLIENT, sur lesquelles le RESPONSABLE DE TRAITEMENT n’a aucune connaissance préalable.
Il est cependant possible que des données sensibles (données médicales) soient renseignées dans la SOLUTION.
3.4 Catégories de personnes concernées :
- Utilisateurs de la SOLUTION
3.5 Conservation des Données : les données personnelles confiées au RESPONSABLE DE TRAITEMENT seront conservées par ses soins, pour le compte du CLIENT, pendant la durée du Contrat. A l’échéance du Contrat, pour quelle que cause que ce soit, le RESPONSABLE DE TRAITEMENT détruira ou restituera l’ensemble des Données.
3.6 Propriété des Données : le CLIENT conserve la responsabilité de sa base de données. Il est expressément convenu que pendant la durée et l’exécution du Contrat, et en cas de traitement de données personnelles par le RESPONSABLE DE TRAITEMENT, celui-ci agira uniquement pour le compte du CLIENT, sur instructions de celui-ci ou afin de satisfaire aux obligations du Contrat, sur la base des stipulations du présent Contrat, aux seules finalités et pendant les durées stipulées ci-avant. Le RESPONSABLE DE TRAITEMENT s’engage à supprimer toute Donnée en sa possession à première demande du CLIENT, et en toute hypothèse à l’expiration du Contrat.
3.7 Autorisations et permissions :
- Données de localisation : autoriser E.M.I.L à accéder à la position de cet appareil est obligatoire pour pouvoir faire des mesures avec la solution E.M.I.L. L’activation du partage de la position / localisation géographique nous permet de scanner l’environnement afin de détecter les capteurs via Bluetooth. Vous devez donc accepter de partager vos données de localisation en arrière plan. Optimergo s’engage à ne pas déterminer, utiliser, collecter ou partager votre localisation. Une fois les capteurs détectés et ajoutés dans l’application, vous pouvez révoquer cette autorisation en allant dans les paramètres système de l’application (Système -> Applications -> E.M.I.L -> Autorisation).
- Utilisation du bluetooth : autoriser E.M.I.L à détecter les appareils à proximité, s’y connecter et déterminer leur position relative est obligatoire pour scanner l’environnement afin de détecter les capteurs via Bluetooth. Optimergo s’engage à ne pas déterminer, utiliser, collecter ou partager votre localisation.
- Utilisation de la caméra : autoriser E.M.I.L à prendre des photos et enregistrer des vidéos est obligatoire pour pouvoir filmer pendant les mesures. Optimergo certifie que ces données ne sont ni enregistrées ni exploitées.
Article 4 : Engagements du CLIENT
Le CLIENT s’engage par ailleurs à :
- permettre au RESPONSABLE DE TRAITEMENT l’accès aux Données pour l’exécution du présent Contrat ;
- documenter par écrit toute instruction concernant le traitement des Données par le RESPONSABLE DE TRAITEMENT ;
- veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD et la Loi informatique et libertés ;
- superviser le traitement ;
- respecter les principes de proportionnalité, de minimalisation et de limitation de collecte des données à caractère personnel, s’assurant que seules les données à caractère personnel pertinentes sont traitées au sein de la SOLUTION, pour les seules finalités identifiées et liées à son activité, et sous le seul contrôle des personnes ayant à en connaitre ;
Article 5 : Engagements du RESPONSABLE DE TRAITEMENT
Dans le cadre de l’exécution du présent Contrat et de la fourniture de la SOLUTION, le RESPONSABLE DE TRAITEMENT s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de protéger les données personnelles communiquées au RESPONSABLE DE TRAITEMENT par le CLIENT ou directement communiquées par les personnes physiques concernées via la SOLUTION, de manière permanente et documentée, contre la destruction accidentelle, l’altération, la diffusion ou l’accès non-autorisé, y compris dans le cadre de la transmission de données sur le réseau, tout comme contre toute autre forme de traitement illicite ou non compris dans les traitements confiés au sens du présent Contrat.
A ce titre, le RESPONSABLE DE TRAITEMENT s’engage à :
- mettre en place les mesures de sécurité nécessaires à la protection et la préservation des Données ;
- assurer la confidentialité et la sécurité des Données de manière conforme à la réglementation applicable ;
- soumettre ses salariés à une obligation contractuelle de confidentialité ;
- ne permettre l’accès aux Données qu’aux personnes habilitées et nécessaires pour l’exécution du Contrat.
Article 6 : Sous-traitance
6.1 Le RESPONSABLE DE TRAITEMENT peut faire appel à un sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le CLIENT de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants.
Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance.
Le sous-traitant ultérieur est tenu de respecter les obligations du présent Contrat pour le compte et selon les instructions du CLIENT. Il appartient au RESPONSABLE DE TRAITEMENT de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD.
6.2 Lorsque le CLIENT souhaite faire appel à d’autres sous-traitants que le RESPONSABLE DE TRAITEMENT, il lui appartient de s’assurer que ledit sous-traitant présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD.
Lorsque le sous-traitant choisi par le CLIENT intervient dans l’exécution du présent Contrat, le CLIENT s’engage à lui faire respecter les termes du présent Contrat et à ce qu’il permette l’exécution par le RESPONSABLE DE TRAITEMENT de ses obligations contractuelles.
Article 7 : Droit d’information des personnes concernées
Il appartient au CLIENT de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
Article 8 : Exercice des droits des personnes concernées
Dans la mesure du possible, le RESPONSABLE DE TRAITEMENT doit aider le CLIENT à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du RESPONSABLE DE TRAITEMENT des demandes d’exercice de leurs droits, le RESPONSABLE DE TRAITEMENT doit adresser ces demandes au CLIENT, dès réception par courrier électronique.
Article 9 : Notification des violations de Données
Le RESPONSABLE DE TRAITEMENT notifie au CLIENT toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et par courrier électronique. Cette notification est accompagnée de toute documentation utile afin de permettre au CLIENT, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Article 10 : Limitation de l’utilisation des Données
Le RESPONSABLE DE TRAITEMENT s’engage à s’abstenir d’exploiter ou utiliser, faire des copies ou créer des fichiers des données personnelles au sein du système d’information du CLIENT à ses propres fins ou pour le compte de tiers. Le traitement d’une donnée personnelle correspondra strictement à l’exécution des finalités stipulées ci-avant, dans le seul cadre de l’exécution du Contrat.
Cependant, le RESPONSABLE DE TRAITEMENT pourra exploiter les Données à des fins de recherches afin d’améliorer la SOLUTION, ses fonctionnalités et ses résultats. Dans cette hypothèse, les Données sont anonymisées par le RESPONSABLE DE TRAITEMENT.
Article 11 : Modification et suppression des Données
Durant l’exécution du Contrat, le RESPONSABLE DE TRAITEMENT s’engage à modifier ou supprimer, à la demande du CLIENT, toute Donnée en sa possession, notamment en cas d’exercice par un individu de ses droits d’accès, de rectification et de suppression.