Dans le cadre de ses activités, DIVALTO peut être amené à traiter vos données à caractère personnel. La présente politique vous fournit des informations générales sur la façon dont sont traitées vos données à caractère personnel et les engagements pris par DIVALTO en termes de protection des données à caractère personnel.
Celle-ci constitue un premier niveau d’information et pourra être complétée :
A cet égard, nous vous informons que vous pouvez accéder, pour les traitements réalisés via notre site, à notre politique de confidentialité et politique cookies. La présente politique de protection des données a été mise à jour le 1er juin 2019.
DIVALTO édite des solutions de gestion ERP et CRM pour les PME et ETI.
Voir nos mentions légales.
1.1. DIVALTO responsable de traitement
DIVALTO intervient en tant que responsable du traitement lorsqu’il traite des données à caractère personnel pour son propre compte.
1.2. DIVALTO sous-traitant
Sous-traitant
DIVALTO agit en tant que sous-traitant, notamment dans le cadre des prestations informatiques proposées à ses clients en lien avec ses logiciels telles que l’hébergement comportant des données à caractère personnel, en mode PAAS, SAAS, etc.
Sous-traitant ultérieur
DIVALTO agit également en tant que sous-traitant ultérieur lorsqu’un partenaire distributeur lui confie certaines opérations de traitement pour le compte de ses clients qui ont souhaités souscrire aux services fournis par DIVALTO par son intermédiaire.
Dans ce cas particulier, le schéma sera le suivant :
Dans ce contexte, DIVALTO peut être amené à traiter des données à caractère personnel du client final.
Dans ce cas, le client final est Responsable de traitement.
Son cocontractant, le DISTRIBUTEUR, est Sous-traitant.
DIVALTO intervient, à la demande du DISTRIBUTEUR, vis-à-vis du client final comme Sous-traitant ultérieur (ou « de second niveau »).
Chaque partie contractualise les questions liées au traitement des données personnelles avec son interlocuteur et cocontractant direct.
Que ce soit dans le cadre des traitements réalisés en tant que responsable de traitement ou sous-traitant, nous nous engageons à assurer le plus haut niveau de protection possible aux données à caractère personnel que nous traitons.
La protection de vos données à caractère personnel est, en effet, l’une de nos priorités.
Afin de ne pas perdre ce niveau de protection, nous exigeons à ce titre le même niveau d’engagement de la part de nos prestataires et partenaires qui gèrent vos données en notre nom.
Nous pouvons en effet faire appel à des prestataires pour fournir un service nécessitant le traitement de vos données à caractère personnel, par exemple l’hébergement de certaines données que nous traitons en qualité de sous-traitant.
Nous nous engageons à vous tenir informés de l’évolution de la liste de nos prestataires et partenaires intervenant sur vos données.
Pour toute question concernant cette politique de protection des données personnelles vous pouvez contacter DIVALTO à l’adresse : rgpd@divalto.com.
Nous avons procédé à la cartographie de l’ensemble de nos traitements et établi une documentation relative à notre conformité, notamment notre registre des activités de traitements. Ce registre recense l’ensemble de nos traitements réalisés en tant que responsable de traitement ou sous-traitant.
Nous encadrons nos relations avec nos clients et fournisseurs/prestataires par des contrats adaptés et conformes aux exigences du RGPD.
Nous apportons les garanties appropriées à nos éventuels transferts de données hors union-européenne (voir point 10 « Où conservons-nous vos données à caractère personnel ? »).
Notre avons défini une base juridique à l’ensemble de nos traitements qui vous est communiquée au cas par cas, pour chaque traitement que nous réalisons sur vos données à caractère personnel.
Cela implique que nous veillons à être le plus transparent possible sur les traitements que nous réalisons.
Enfin, nous veillons à disposer de procédures internes efficaces et opérationnelles, testées et mises à jour régulièrement afin d’assurer la conformité de nos traitements, le respect des durées de conservations, des mesures de sécurité, ou encore du respect des droits des personnes.
Nous nous efforçons de protéger la sécurité, la confidentialité et l’intégrité de vos données.
Pour ce faire, nous prenons les mesures physiques, techniques et organisationnelles nécessaires afin de préserver la sécurité des données à caractère personnel que nous traitons contre tout accès non autorisé, modification, déformation, divulgation, ou utilisation impropre et ce au regard de la nature des données à caractère personnel traitées et des risques présentés par le traitement.
Nous diligentons des audits internes afin de nous assurer de la pertinence des mesures mises en place et de nous prémunir contre tout accès non autorisé à nos systèmes d’information.
Nous mettons, par exemple, en place des mesures pour :
Nous vous rappelons qu’une donnée à caractère personnel est une information se rapportant à une personne physique identifiée ou identifiable (la « personne concernée » au sens du RGPD), telle qu’une adresse mail, vos nom et prénom, votre adresse IP, etc.
Nous sommes susceptibles de collecter vos données à caractère personnel directement ou indirectement :
En tant que sous-traitant, nous pourrons également être amenés à réaliser des opérations de traitement sur vos données sur instruction de l’un de nos clients, responsable de traitement.
Les catégories de données que nous pouvons être amenés à traiter selon les finalités de traitement poursuivies sont :
Lorsque nous agissons en tant que responsable de traitement :
CLIENTS / PROSPECTS :
CANDIDATS :
FOURNISSEURS OU PRESTATAIRES DE SERVICE :
Lorsque nous agissons en tant que sous-traitant :
Pour les finalités qui auront été déterminées par le responsable du traitement en lien avec l’utilisation de nos produits, principalement :
Conformément aux exigences du RGPD, nos traitements de données reposent sur une base juridique.
Nous pouvons traiter vos données sur la base :
Nous pouvons également traiter vos données à caractère personnel sur le fondement des autres bases juridiques listées dans le RGPD. Vous en serez informés dès le stade de la collecte de vos données par le biais d’une mention d’information spécifique.
DIVALTO conservera vos données à caractère personnel uniquement pour la durée nécessaire au regard des finalités pour lesquelles elles sont traitées. Ces durées sont déterminées dans une politique de conservation pour les données personnelles.
Afin de déterminer la durée de conservation de vos données à caractère personnel, nous utilisons notamment les critères suivants :
Nous vous communiquerons la durée de conservation au cas par cas.
Les personnes autorisées au sein de DIVALTO et dans certains cas, ses sous-traitants, peuvent accéder à vos données à caractère personnel.
Nous faisons nos meilleurs efforts afin de nous assurer que le nombre de ces personnes reste aussi restreint que possible et maintenons la confidentialité et la sécurité de vos données à caractère personnel.
D’autres destinataires tiers, tels que nos fournisseurs ou autres prestataires, peuvent également avoir accès, conformément à nos instructions, à vos données à caractère personnel, selon le traitement concerné.
Nous ne fournissons que les informations dont ils ont besoin afin de fournir le service et leur demandons de ne pas utiliser vos données à caractère personnel pour d’autres finalités.
Lorsque nous agissons en tant que sous-traitant, il est également possible, pour les tiers pour le compte desquels nous traitons vos données, d’accéder à ces dernières.
Pour chaque traitement que nous réalisons sur vos données à caractère personnel en qualité de responsable du traitement, nous vous informerons sur l’identité et le rôle de nos prestataires.
Vos données sont stockées dans l’Espace Economique Européen (EEE) par DIVALTO et ses prestataires de confiance.
Vos données peuvent faire l’objet d’un transfert dans un pays en dehors de l’EEE dans des cas précis et ponctuels, où la prestation que vous avez sollicitée implique le recours à des prestataires/partenaires établis hors de l’EEE.
En cas de transfert de données en dehors de l’EEE, nous veillons à ce que les données soient transférées de manière sécurisée et dans le respect des exigences du RGPD. Nous prévoyons avec nos clients des « garanties appropriées » encadrant un tel transfert, telles les clauses contractuelles types adoptées par la Commission, ou encore des décisions d’adéquation.
Selon les opérations de traitement dont vos données font l’objet, vous pouvez disposer des droits suivants :
Ces droits s’exercent auprès du responsable de traitement.
Vous pouvez donc les exercer directement auprès de DIVALTO lorsque qu’il intervient sur vos données en tant que responsable de traitement, en nous contactant à l’adresse suivante : rgpd@divalto.com.
En cas de demande visant un traitement de données pour lequel DIVALTO n’intervient qu’en tant que sous-traitant, votre demande ne sera pas traitée mais retransmise au responsable de traitement concerné.
Afin que nous puissions traiter votre demande de façon satisfaisante, vous devrez justifier de votre identité, par quelque moyen que ce soit. En cas de doute de notre part, nous pouvons vous demander des informations complémentaires.
Nous ferons de notre mieux pour répondre de manière satisfaisante à vos demandes. Quelle que soit notre réponse, nous vous la ferons parvenir dans un délai d’un mois, mais notre délai de réponse peut être prolongé de deux mois supplémentaires en fonction de la complexité et du nombre de demandes.
Si, pour quelque raison que ce soit, vous estimez que notre réponse n’est pas satisfaisante, nous vous informons que vous pouvez déposer une plainte auprès de la CNIL.
