Connexion
Accéder à MyDivalto Espace utilisateur

Qui sommes-nous ?

DIVALTO édite des solutions de gestion ERP et CRM pour les PME et ETI.
Voir nos mentions légales.

1.1. DIVALTO responsable de traitement

DIVALTO intervient en tant que responsable du traitement lorsqu’il traite des données à caractère personnel pour son propre compte.

1.2. DIVALTO sous-traitant

Sous-traitant

DIVALTO agit en tant que sous-traitant, notamment dans le cadre des prestations informatiques proposées à ses clients en lien avec ses logiciels telles que l’hébergement comportant des données à caractère personnel, en mode PAAS, SAAS, etc.

Sous-traitant ultérieur

DIVALTO agit également en tant que sous-traitant ultérieur lorsqu’un partenaire distributeur lui confie certaines opérations de traitement pour le compte de ses clients qui ont souhaités souscrire aux services fournis par DIVALTO par son intermédiaire.

Dans ce cas particulier, le schéma sera le suivant :

schéma protection des données

 

Dans ce contexte, DIVALTO peut être amené à traiter des données à caractère personnel du client final.

Dans ce cas, le client final est Responsable de traitement.

Son cocontractant, le DISTRIBUTEUR, est Sous-traitant.

DIVALTO intervient, à la demande du DISTRIBUTEUR, vis-à-vis du client final comme Sous-traitant ultérieur (ou « de second niveau »).

Chaque partie contractualise les questions liées au traitement des données personnelles avec son interlocuteur et cocontractant direct.

Quels sont nos engagements ?

Que ce soit dans le cadre des traitements réalisés en tant que responsable de traitement ou sous-traitant, nous nous engageons à assurer le plus haut niveau de protection possible aux données à caractère personnel que nous traitons.

La protection de vos données à caractère personnel est, en effet, l’une de nos priorités.

Afin de ne pas perdre ce niveau de protection, nous exigeons à ce titre le même niveau d’engagement de la part de nos prestataires et partenaires qui gèrent vos données en notre nom.

Nous pouvons en effet faire appel à des prestataires pour fournir un service nécessitant le traitement de vos données à caractère personnel, par exemple l’hébergement de certaines données que nous traitons en qualité de sous-traitant.

Nous nous engageons à vous tenir informés de l’évolution de la liste de nos prestataires et partenaires intervenant sur vos données.

Pour toute question concernant cette politique de protection des données personnelles vous pouvez contacter DIVALTO à l’adresse : rgpd@divalto.com.

Quelles mesures mettons-nous en place ?

Nous avons procédé à la cartographie de l’ensemble de nos traitements et établi une documentation relative à notre conformité, notamment notre registre des activités de traitements. Ce registre recense l’ensemble de nos traitements réalisés en tant que responsable de traitement ou sous-traitant.

Nous encadrons nos relations avec nos clients et fournisseurs/prestataires par des contrats adaptés et conformes aux exigences du RGPD.

Nous apportons les garanties appropriées à nos éventuels transferts de données hors union-européenne (voir point 10 « Où conservons-nous vos données à caractère personnel ? »).

Notre avons défini une base juridique à l’ensemble de nos traitements qui vous est communiquée au cas par cas, pour chaque traitement que nous réalisons sur vos données à caractère personnel.

Cela implique que nous veillons à être le plus transparent possible sur les traitements que nous réalisons.

Enfin, nous veillons à disposer de procédures internes efficaces et opérationnelles, testées et mises à jour régulièrement afin d’assurer la conformité de nos traitements, le respect des durées de conservations, des mesures de sécurité, ou encore du respect des droits des personnes.

Comment assurons-nous la sécurité des données ?

Nous nous efforçons de protéger la sécurité, la confidentialité et l’intégrité de vos données.

Pour ce faire, nous prenons les mesures physiques, techniques et organisationnelles nécessaires afin de préserver la sécurité des données à caractère personnel que nous traitons contre tout accès non autorisé, modification, déformation, divulgation, ou utilisation impropre et ce au regard de la nature des données à caractère personnel traitées et des risques présentés par le traitement.

Nous diligentons des audits internes afin de nous assurer de la pertinence des mesures mises en place et de nous prémunir contre tout accès non autorisé à nos systèmes d’information.

Nous mettons, par exemple, en place des mesures pour :

  • protéger vos données contre tout accès non autorisé,
  • empêcher toute utilisation, destruction ou divulgation à des tiers,
  • garantir la continuité des activités commerciales et les reprises après sinistre,
  • limiter l’accès aux informations personnelles,
  • former le personnel à la sécurité des données,
  • gérer les risques émanant des tiers grâce à des clauses contractuelles appropriées et conformes aux réglementations européennes notamment en matière de sous-traitance.

Quelles données à caractère personnel collectons-nous ?

Nous vous rappelons qu’une donnée à caractère personnel est une information se rapportant à une personne physique identifiée ou identifiable (la « personne concernée » au sens du RGPD), telle qu’une adresse mail, vos nom et prénom, votre adresse IP, etc.

Nous sommes susceptibles de collecter vos données à caractère personnel directement ou indirectement :

  • Lorsque vous visitez notre site internet et interagissez avec nous (création d’un compte, utilisation d’un formulaire de contact, inscription à une newsletter, envoi d’une candidature…)
    Voir la politique de confidentialité.
  • Lorsque vous signez un contrat avec nous, en tant que prestataire ou partenaire ou en tant que client et/ou utilisateur afin de bénéficier de nos produits et services.

En tant que sous-traitant, nous pourrons également être amenés à réaliser des opérations de traitement sur vos données sur instruction de l’un de nos clients, responsable de traitement.

Les catégories de données que nous pouvons être amenés à traiter selon les finalités de traitement poursuivies sont :

  • des données d’identification
  • des informations professionnelles
  • des informations financières
  • des données de connexion
  • toute donnée à caractère personnel confiée par l’un de nos clients ayant qualité de responsable du traitement conformément à ses instructions et au contrat de sous-traitance qui nous lie.

Pour quelles finalités sont-elles traitées ?

Vos données à caractère personnel peuvent être traitées pour les finalités suivantes :

Lorsque nous agissons en tant que responsable de traitement :

  • Clients/prospects :
    • À des fins marketing
    • À des fins de gestion des prospects et clients (suivi de la relation client, administration des ventes et gestion des réclamations)
    • Si vous êtes inscrit à l’une de nos lettres d’actualité
    • Pour répondre à votre demande si vous nous avez écrit via notre formulaire de contact
  • Candidats :
    • A des fins de gestion des candidatures pour des emplois/stages ou notre projet solidaire DIVALTO CARE IT
  • Fournisseurs ou prestataires de service :
    • Aux fins de gestion de notre relation commerciale

Lorsque nous agissons en tant que sous-traitant :

  • Pour les finalités qui auront été déterminées par le responsable du traitement en lien avec l’utilisation de nos produits, principalement :
    • La gestion de la relation avec les contacts de l’entreprise cliente
    • La gestion commerciale
    • La gestion logistique
    • La gestion de la production et des services
    • La gestion administrative et financière
    • La gestion des ressources humaines

La finalité du traitement vous sera communiquée au cas par cas, pour chaque traitement que nous réalisons sur vos données à caractère personnel.

Comment nous assurons-nous de la licéité de nos opérations de traitement ?

Conformément aux exigences du RGPD, nos traitements de données reposent sur une base juridique.

Nous pouvons traiter vos données sur la base :

  • de l’exécution du contrat qui nous lie si celle-ci requiert que nous traitions vos données à caractère personnel, par exemple dans le cadre de la gestion de la relation contractuelle avec nos clients ou fournisseurs/prestataires ou encore des réclamations ;
  • d’une obligation légale, par exemple pour nos documents civils et commerciaux ;
  • de mesures précontractuelles prises à votre demande, dans le cadre notamment de l’étude d’une candidature à un poste chez DIVALTO ;
  • de notre intérêt légitime, par exemple pour le fichier de gestion des prospects.

Nous pouvons également traiter vos données à caractère personnel sur le fondement des autres bases juridiques listées dans le RGPD. Vous en serez informés dès le stade de la collecte de vos données par le biais d’une mention d’information spécifique.

Pendant combien de temps conservons-nous vos données à caractère personnel ?

DIVALTO conservera vos données à caractère personnel uniquement pour la durée nécessaire au regard des finalités pour lesquelles elles sont traitées. Ces durées sont déterminées dans une politique de conservation pour les données personnelles.

Afin de déterminer la durée de conservation de vos données à caractère personnel, nous utilisons notamment les critères suivants :

  • finalités d’utilisation des données ;
  • l’existence d’une disposition légale et règlementaire nous imposant une durée de conservation précise ;
  • référentiels existants en vigueur mis à disposition par la CNIL ;
  • prescriptions contractuelles lorsque nous traitons des données pour le compte d’un tiers, en tant que sous-traitant.

Nous vous communiquerons la durée de conservation au cas par cas.

Qui peut accéder à vos données à caractère personnel ?

Les personnes autorisées au sein de DIVALTO et dans certains cas, ses sous-traitants, peuvent accéder à vos données à caractère personnel. Nous faisons nos meilleurs efforts afin de nous assurer que le nombre de ces personnes reste aussi restreint que possible et maintenons la confidentialité et la sécurité de vos données à caractère personnel.

D’autres destinataires tiers, tels que nos fournisseurs ou autres prestataires, peuvent également avoir accès, conformément à nos instructions, à vos données à caractère personnel, selon le traitement concerné.

Nous ne fournissons que les informations dont ils ont besoin afin de fournir le service et leur demandons de ne pas utiliser vos données à caractère personnel pour d’autres finalités.

Lorsque nous agissons en tant que sous-traitant, il est également possible, pour les tiers pour le compte desquels nous traitons vos données, d’accéder à ces dernières.

Pour chaque traitement que nous réalisons sur vos données à caractère personnel en qualité de responsable du traitement, nous vous informerons sur l’identité et le rôle de nos prestataires.

Où conservons-nous vos données à caractère personnel ?

Où conservons-nous vos données à caractère personnel ?

Vos données sont stockées dans l’Espace Economique Européen (EEE) par DIVALTO et ses prestataires de confiance.

Vos données peuvent faire l’objet d’un transfert dans un pays en dehors de l’EEE dans des cas précis et ponctuels, où la prestation que vous avez sollicitée implique le recours à des prestataires/partenaires établis hors de l’EEE.

En cas de transfert de données en dehors de l’EEE, nous veillons à ce que les données soient transférées de manière sécurisée et dans le respect des exigences du RGPD. Nous prévoyons avec nos clients des « garanties appropriées » encadrant un tel transfert, telles les clauses contractuelles types adoptées par la Commission, ou encore des décisions d’adéquation.

Où conservons-nous vos données à caractère personnel ?

Quels sont vos droits en tant que personne concernée et comment les exercer ?

Selon les opérations de traitement dont vos données font l’objet, vous pouvez disposer des droits suivants :

  • Un droit d’accès : permettant d’obtenir confirmation de notre part que des données à caractère personnel vous concernant sont, ou non, traitées. Si tel est le cas, vous pouvez accéder à vos données à caractère personnel et obtenir des informations telles que la finalité du traitement, les catégories de données à caractère personnel concernées, etc. ;
  • Un droit de rectification : assurant la rectification des données personnelles inexactes vous concernant ;
  • Un droit à l’effacement : qui vous permet de demander l’effacement de vos données personnelles, pour autant que l’un des motifs justifiant l’exercice de ce droit s’applique ;
  • Un droit à la limitation du traitement : lorsque l’un des motifs justifiant l’exercice ce droit s’applique ;
  • Un droit à la portabilité : vous permettant de recevoir vos données personnelles, dans un format structuré, couramment utilisé et lisible par une machine, et le droit de transmettre ces données à un autre responsable du traitement sans entrave de notre part ;
  • Un droit d’opposition : c’est-à-dire que vous pouvez, par exemple, nous interdire d’utiliser vos données personnelles à des fins de marketing direct ;
  • Un droit de définir les lignes directrices pour le traitement de vos données personnelles après votre décès.

Ces droits s’exercent auprès du responsable de traitement.

Vous pouvez donc les exercer directement auprès de DIVALTO lorsque qu’il intervient sur vos données en tant que responsable de traitement, en nous contactant à l’adresse suivante : rgpd@divalto.com.

En cas de demande visant un traitement de données pour lequel DIVALTO n’intervient qu’en tant que sous-traitant, votre demande ne sera pas traitée mais retransmise au responsable de traitement concerné.

Afin que nous puissions traiter votre demande de façon satisfaisante, vous devrez justifier de votre identité, par quelque moyen que ce soit. En cas de doute de notre part, nous pouvons vous demander des informations complémentaires.

Nous ferons de notre mieux pour répondre de manière satisfaisante à vos demandes. Quelle que soit notre réponse, nous vous la ferons parvenir dans un délai d’un mois, mais notre délai de réponse peut être prolongé de deux mois supplémentaires en fonction de la complexité et du nombre de demandes.

Si, pour quelque raison que ce soit, vous estimez que notre réponse n’est pas satisfaisante, nous vous informons que vous pouvez déposer une plainte auprès de la CNIL.

Liste des sous-traitants ultérieurs habituels de Divalto dans le cadre des produits et services fournis

Sous-traitant But du traitement Types de données traitées Catégories de personnes concernées Transfert de données hors UE
IBM Hébergement de serveurs/données clients ERP Données d’identification, vie professionnelle, informations financières, suivi de la relation commerciale. Éventuellement en complément, pour les salariés du CLIENT : login/mot de passe, IP, navigation web, géolocalisation, suivi en temps réel de l’activité. Clients Non
Diatem Hébergement de serveurs/données clients CRM Données d’identification, vie professionnelle, informations financières, suivi de la relation commerciale. Éventuellement en complément, pour les salariés du CLIENT : login/mot de passe, IP, navigation web, géolocalisation, suivi en temps réel de l’activité. Clients Non
SFEIR Prestations d’études et de développements dans le cadre de projets informatiques Données d’identification, vie professionnelle, informations financières, suivi de la relation commerciale. Éventuellement en complément, pour les salariés du CLIENT : login/mot de passe, IP, navigation web, géolocalisation, suivi en temps réel de l’activité. Clients Non