1. Préambule
Le Règlement (EU) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après « RGPD ») fixe le cadre juridique applicable aux traitements de données à caractère personnel.
Le RGPD renforce les droits et les obligations des responsables de traitements, des sous-traitants, des personnes concernées et des destinataires des données.
Dans le cas de notre activité, nous sommes amenés à traiter des données à caractère personnel.
Pour une bonne compréhension de la présente politique, il est précisé que :
- le « responsable du traitement » est la société UbiCast;
- le « sous-traitant » : désigne toute personne physique ou morale qui traite des données à caractère personnel pour le compte d’UbiCast ;
- les « personnes concernées » : désigne toutes personnes se connectant aux sites d’UbiCast ;
- les « destinataires » : désigne les personnes physiques ou morales qui reçoivent des données à caractère personnel de la part d’UbiCast. Les destinataires des données peuvent donc être aussi bien des salariés d’UbiCast que des organismes extérieurs (partenaires, exposants, établissement bancaire, intervenants, etc.).
Le RGPD, en son article 12, impose que les personnes concernées soient informées de leurs droits de manière concise, transparente, compréhensible et aisément accessible.
2. Objet
La présente politique a pour objet de satisfaire à l’obligation d’information à laquelle UbiCast est tenue en application de l’article 12 du RGPD et de formaliser les droits et les obligations de ses clients et contacts au regard du traitement de leurs données à caractère personnel.
3. Portée
La présente politique a vocation à s’appliquer dans le cadre de la mise en place de l’ensemble des traitements de données à caractère personnel relatives aux personnes concernées d’UbiCast.
UbiCast met tout en oeuvre pour que les données soient traitées dans le cadre d’une gouvernance interne précise. Ceci étant précisé, la présente politique ne porte que sur les traitements dont UbiCast est responsable du traitement et ne vise donc pas les traitements qui ne seraient pas créés ou exploités en dehors des règles de gouvernance fixées par UbiCast (traitement dit « sauvages » ou « shadow IT »).
Le traitement de données à caractère personnel peut être géré directement par UbiCast ou par le biais d’un sous-traitant spécifiquement désigné par UbiCast.
Cette politique est indépendante de tout autre document pouvant s’appliquer au sein de la relation contractuelle entre UbiCast et les personnes concernées.
4. Principes généraux & collecte des données
Aucun traitement n’est mis en oeuvre au sein d’UbiCast concernant des données des personnes concernées s’il ne porte pas sur des données à caractère personnel collectées par ou pour ses solutions ou traitées en relation avec ses solutions et s’il ne répond pas aux principes généraux du RGPD.
4.1. Cas d’usage des données collectées
Les cas d’usage d’UbiCast sont les suivants :
Gestion des relations contractuelles | Toute démarche mise en oeuvre par UbiCast visant le traitement des commandes faites par le client et l'exécution des contrats. |
Gestion du site web d’UbiCast | Toute démarche relative à la gestion et la bonne exécution des sites web d’UbiCast (espace partenaire, support, ubicast.tv, prise de contact, etc.). |
Gestion de la prospection commerciale | Toute démarche relative à de la prospection commerciale des personnes concernées effectuée par UbiCast. |
Gestion de la comptabilité et de la fiscalité | Toute démarche relative à la gestion de la comptabilité et de la fiscalité, notamment le traitement des factures. |
Gestion des contacts en ligne | Toute démarche relative à la gestion des demandes de contacts en ligne. |
Gestion de la maintenance et de l’assistance téléphonique | Toute démarche nécessaire à la mise à disposition d’un support par voie électronique et d’une assistance téléphonique pour les personnes concernées. |
Gestion de l’accueil et du standard téléphonique | Toute démarche relative à la gestion de l’accueil et du standard téléphonique de UbiCast. |
Gestion des médias sociaux | Toute démarche de social selling. Elles regroupent notamment le recueil de données liées à des inscriptions, posts, likes, reply et forwards, commentaires, avis, etc. |
Gestion des évènements | Toute démarche nécessaire à l’organisation d’évènement par UbiCast. |
Cookies | Gestion des cookies utilisés pour la gestion du site internet. |
Cette liste se veut aussi exhaustive que possible, tout nouveau cas d’usage, modification ou suppression d’un traitement existant sera porté à la connaissance des personnes concernées par une modification de la présente politique.
4.2 Types de données collectées
Données non techniques (selon les cas d’usage) |
|
Données techniques (selon les cas d’usage) |
|
4.3 Origines des données
Les données relatives aux personnes concernées d’UbiCast sont généralement collectées directement auprès d’eux (collecte directe).
La collecte peut aussi être indirecte via des entreprises spécialisées ou via les partenaires et fournisseurs d’UbiCast. Dans ce cas, UbiCast prend le plus grand soin à s’assurer de la qualité des données qui lui sont communiquées.
4.4 Finalités et bases légales
Selon les cas, UbiCast traite vos données pour les finalités suivantes :
- gestion des inscriptions/désinscriptions aux solutions fournies par UbiCast ;
- gestion de la newsletter ;
- gestion de la relation clients (GRC) ;
- gestion de la relation contacts (GRP) ;
- gestion des sites internets exploités par UbiCast;
- gestion des comptes utilisateurs du site d’UbiCast;
- gestion des cookies ;
- gestion de la comptabilité et de la facturation ;
- organisation d’évènements ;
- gestion des réunions et assemblées ;
- gestion des signalements de comportements contraires aux présentes ;
- conservation des données relatives aux obligations légales de sécurité ;
- amélioration des solutions et enquête de satisfaction ;
- acquisition d’audience ;
- statistiques.
Ces finalités reposent tant sur la relation contractuelle existante entre UbiCast et les personnes concernées qu’avec son intérêt légitime de disposer de données concernant ses utilisateurs et ses contacts.
4.5 Destinataires des données – Habilitation & Traçabilité
UbiCast s’assure que les données ne soient accessibles qu’à des destinataires internes ou externes habilités.
Destinataires internes | Destinataires externes |
|
|
Les destinataires des données à caractère personnel des personnes concernées au sein d’UbiCast sont soumis à une obligation de confidentialité.
UbiCast décide quel destinataire pourra avoir accès à quelle donnée selon une politique d’habilitation.
Par ailleurs, les données à caractère personnel pourront être communiquées à toute autorité légalement habilitée à les connaître. Dans ce cas, UbiCast n’est pas responsable des conditions dans lesquelles les personnels de ces autorités ont accès et exploitent les données.
4.6 Durée de conservation
La durée de conservation des données est définie par UbiCast au regard des contraintes légales et contractuelles qui pèsent sur elle et à défaut en fonction de ses besoins et notamment selon les principes suivants :
Traitement | Durée de conservation |
Données relatives aux clients | Pendant la durée des relations contractuelles avec l’entreprise, augmentée de 3 ans à des fins d’animation et de prospection, sans préjudice des obligations de conservation ou des délais de prescription. |
Données relatives aux utilisateurs du site internet | Pendant la durée nécessaire à la réalisation des prestations assurées par l’entreprise et 1 an après la dernière intervention Cookies : 365 jours maximum |
Données relatives aux prospects | 3 ans à compter de leur collecte par l’entreprise ou du dernier contact émanant du prospect |
Données techniques collectées durant la connexion au site internet | 180 jours |
Données relatives à la facturation | 10 ans à compter de l’édition de la facture. |
Passé les délais fixés, les données sont soit supprimées, soit conservées après avoir été anonymisées, notamment pour des raisons d’usages statistiques. Elles peuvent être conservées en cas de précontentieux et contentieux.
Il est rappelé aux personnes concernées que la suppression ou l’anonymisation sont des opérations irréversibles et qu’UbiCast n’est plus, par la suite, en mesure de les restaurer.
5. Droit de confirmation et droit d’accès
Les personnes concernées disposent d’un droit de demander à UbiCast la confirmation que des données le concernant sont ou non traitées
Les personnes concernées disposent également d’un droit d’accès, ce dernier étant conditionné au respect des règles suivantes :
- la demande émane de la personne elle-même et est accompagnée d’une copie d’un titre d’identité, à jour ;
- être formulé par écrit à l’adresse suivante : UbiCast - Data Protection Officer, 198 Avenue de France, 75 013 PARIS, France ou à l’adresse e-mail dpo@ubicast.eu.
Les personnes concernées ont le droit de demander une copie de leurs données à caractère personnel faisant l’objet du traitement auprès d’UbiCast. Toutefois, en cas de demande de copie supplémentaire, UbiCast pourra exiger la prise en charge financière de ce coût par les personnes concernées.
Si les personnes concernées présentent leur demande de copie des données par voie électronique, les informations demandées lui seront fournies sous une forme électronique d’usage courant, sauf demande contraire.
Les personnes concernées sont informées que ce droit d’accès ne peut porter sur des informations ou données confidentielles ou encore pour lesquelles la loi n’autorise pas la communication.
Le droit d’accès ne doit pas être exercé de manière abusive c’est-à-dire réalisé de manière régulière dans le seul but de déstabiliser la solution concernée.
6. Gestion des droits des personnes
6.1 Droit de rectification
UbiCast satisfait aux demandes de mise à jour :
- automatiquement pour les modifications en ligne sur des champs qui techniquement ou légalement peuvent être mis à jour ;
- sur demande écrite émanant de la personne elle-même qui doit justifier de son identité.
6.2 Droit à l’effacement
Le droit à l’effacement des personnes concernées ne sera pas applicable dans les cas où le traitement est mis en oeuvre pour répondre à une obligation légale.
En dehors de cette situation, les personnes concernées pourront demander l’effacement de leurs données dans les cas limitatifs suivants :
- les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
- lorsque la personne concernée retire le consentement sur lequel est fondé le traitement et qu’il n’existe pas d’autre fondement juridique au traitement ;
- la personne concernée s’oppose à un traitement nécessaire aux fins des intérêts légitimes poursuivis par UbiCast et qu’il n’existe pas de motif légitime impérieux pour le traitement ;
- la personne concernée s’oppose à un traitement de ses données à caractère personnel à des fins de prospection, y compris au profilage ;
- les données à caractère personnel ont fait l’objet d’un traitement illicite.
Conformément à la législation sur la protection des données à caractère personnel, les personnes concernées sont informées qu’il s'agit d'un droit individuel qui ne peut être exercé que par la personne concernée relativement à ses propres informations : pour des raisons de sécurité, la solution concernée devra donc vérifier l’identité des personnes concernées afin d'éviter toute communication d'informations confidentielles les concernant à une autre personne.
6.3 Droit à la limitation
Les personnes concernées sont informées que ce droit n’a pas vocation à s’appliquer dans la mesure où le traitement opéré par UbiCast est licite et que toutes les données à caractère personnel collectées sont nécessaires à l’exécution de ses prestations.
6.4 Droit à la portabilité
UbiCast fait droit à la portabilité des données dans le cas particulier des données communiquées par les personnes concernées elles-mêmes, sur des solutions en ligne proposées par UbiCast lui-même et pour les finalités reposant sur le seul consentement des personnes. Dans ce cas les données seront communiquées dans un format structuré, couramment utilisé et lisible par une machine.
7. Décision individuelle Automatisée
UbiCast ne procède pas à des décisions individuelles automatisées.
8. Droit post mortem
Les personnes concernées sont informées qu’elles disposent du droit de formuler des directives concernant la conservation, l’effacement et la communication de leurs données post-mortem. La communication de directives spécifiques post-mortem et l’exercice de leurs droits s’effectuent par courrier électronique à l’adresse dpo@ubicast.eu ou par courrier postal à l’adresse suivante UbiCast - Data Protection Officer, 198 Avenue de France, 75 013 PARIS, France accompagné d’une copie d’un titre d’identité signé.
9. Caractère facultatif ou obligatoire des réponses
Les personnes concernées sont informées sur chaque formulaire de collecte des données à caractère personnel du caractère obligatoire ou facultatif des réponses par la présence d’un astérisque.
Dans le cas où des réponses sont obligatoires, UbiCast explique aux personnes concernées les conséquences d’une absence de réponse.
10. Droit d’usage
UbiCast se voit conférer par les personnes concernées un droit d’usage et de traitement de leurs données à caractère personnel pour les finalités exposées ci-dessus.
Toutefois, les données enrichies qui sont le fruit d’un travail de traitement et d’analyse d’UbiCast, autrement appelées les données enrichies, demeurent la propriété exclusive d’UbiCast (analyse d’usage, statistiques, etc.).
11. Sous-traitance
UbiCast informe les personnes concernées qu’il pourra faire intervenir tout sous-traitant de son choix dans le cadre du traitement de leurs données à caractère personnel.
Dans ce cas, UbiCast s’assure du respect par le sous-traitant de ses obligations en vertu du RGPD.
UbiCast s’engage à signer avec tous ses sous-traitants un contrat écrit et impose aux sous-traitants les mêmes obligations en matière de protection des données que lui-même. De plus, UbiCast se réserve le droit de procéder à un audit auprès de ses sous-traitants afin de s’assurer du respect des dispositions du RGPD.
12. Sécurité
Il appartient à UbiCast de définir et de mettre en oeuvre les mesures techniques de sécurité, physiques ou logiques, qu’il estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite.
Parmi ces mesures figurent principalement :
- gestion des habilitations pour l’accès aux données ;
- mesures de sauvegarde interne ;
- processus d’identification ;
- l’utilisation de protocoles sécurisés (TLS, SSH) ;
- le chiffrement des sauvegardes
13. Violation des données
En cas de violation de données à caractère personnel, UbiCast s’engage à en notifier à la CNIL dans les conditions prescrites par le RGPD.
Si ladite violation fait porter un risque élevé pour les personnes concernées et que les données n’ont pas été protégées, UbiCast:
- en avisera les clients et contacts concernés ;
- communiquera aux clients et contacts concernés les informations et recommandations nécessaires.
14. Flux transfrontaliers
UbiCast se réserve la possibilité de réaliser des flux transfrontières. A ce titre, UbiCast s’assure que ces flux s’inscrivent dans le cadre des dispositions du RGPD, soit parce qu’ils ont lieu à destination des pays adéquats, soit en les organisant à travers des instruments juridiques contraignants.
15. Délégué à la protection des données (DPO)
UbiCast a désigné un délégué à la protection des données (DPO).
Le délégué à la protection des données est joignable à l’adresse e-mail suivante :
- Adresse e-mail : dpo@ubicast.eu ;
En cas de nouveau traitement de données à caractère personnel, UbiCast saisira préalablement le délégué à la protection des données.
Si les personnes concernées souhaitent obtenir une information particulière ou souhaitent poser une question particulière, il leur sera possible de saisir le délégué à la protection des données qui leur donnera une réponse dans un délai raisonnable au regard de la question posée ou de l’information requise.
En cas de problème rencontré avec le traitement des données à caractère personnel, les personnes concernées pourront saisir le délégué à la protection des données désigné.
16. Registre des traitements
UbiCast, en tant que responsable du traitement, s’engage à tenir à jour un registre de toutes les activités de traitement effectuées.
Ce registre est un document ou applicatif permettant de recenser l’ensemble des traitements mis en oeuvre par UbiCast, en tant que responsable du traitement.
UbiCast s’engage à fournir à l’autorité de contrôle, à première demande, les renseignements permettant à ladite autorité de vérifier la conformité des traitements à la réglementation informatique et libertés en vigueur.
17. Droit d’introduire une réclamation auprès de la CNIL
Les personnes concernées par le traitement de leurs données à caractère personnel sont informés de leur droit d’introduire une plainte auprès d'une autorité de contrôle, à savoir la CNIL en France, si celui-ci estime que le traitement de données à caractère personnel le concernant n'est pas conforme à la réglementation européenne de protection des données, à l’adresse suivante :
CNIL – Service des plaintes
3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
Tél : 01 53 73 22 22
18. Évolution
La présente politique peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la CNIL ou des usages.
Toute nouvelle version de la présente politique sera portée à la connaissance des personnes concernées par tout moyen défini par UbiCast, en ce compris la voie électronique (diffusion par courrier électronique ou en ligne par exemple).
19. Pour plus d'informations
Pour toutes informations complémentaires, il est possible de contacter le service suivant : dpo@ubicast.eu
Pour toute autre information plus générale sur la protection des données personnelles, il est possible de consulter le site de la CNIL à l’adresse suivante : www.cnil.fr.