La société EI Walter DUBOIS (ci-après « Société ») attache une grande importance à la protection des données personnelles. Cette politique de confidentialité vise à préciser les droits et obligations de la Société vis-à-vis du site https//bia-aero.fr et de ses clients.
Dans le cadre de leur relation contractuelle, la Société et ses clients responsables du traitement (ci-après dénommés conjointement « les Parties ») s’engagent à respecter la réglementation en vigueur applicable au traitement des données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « le RGPD »).
Chacune des Parties s’engage notamment sur le traitement des données à caractère personnel dont elle est responsable à respecter les droits des personnes concernées (notamment le droit d’information, d’accès, de rectification et de suppression des données). Le Client, qui reste seul responsable du choix du Service, s’assure que le Service présente les caractéristiques et conditions requises pour pouvoir effectuer le traitement des données à caractère personnel envisagé dans le cadre de l’utilisation du Service, tenant compte des règlements en vigueur.
1. Propriété des données et responsable du traitement
Le Client reste propriétaire des données qu’il traite au moyen des Services proposés par la Société. Conformément aux dispositions du RGPD, il reste seul responsable du traitement.
2. Localisation des données
Les Données Client sont situées sur un ou plusieurs sites en France, sauf stipulation contraire dans les Mentions Légales disponibles sur le site https://bia-aero.fr
Dès que les Données Personnelles sont :
- collectées par le Client en dehors du Pays de localisation des données avant d’y être transférées dans le cadre du Service, et/ou
- transférés par le Client, ou par la Société sur instruction du Client, en dehors du Pays de localisation des données,
il est de la responsabilité du Client de s’assurer que la collecte, le traitement et/ou le transfert des Données Personnelles dans le Pays de localisation des données sont autorisés par les lois locales applicables ou, à défaut, et lorsque cela est légalement possible, encadrer ces transferts par des outils juridiques adéquats.
Lorsque le Pays de localisation des données est la France, la Société s’engage à ne pas transférer les sites où les Données Client sont situées hors de France sans l’accord préalable du Client.
3. Obligation du Client responsable du traitement
Le Client doit communiquer clairement à la Société toutes les informations utiles concernant les finalités du traitement envisagé et tenir compte de toute observation pertinente de la Société, liée par une obligation de conseil, dans le cadre de toute demande raisonnable.
En tant que responsable du traitement, le Client s’engage à :
- fournir rapidement/documenter par écrit, y compris sous forme électronique, toute instruction concernant le traitement des données par la Société
- s’assurer, préalablement et tout au long du traitement, que la Société respecte les obligations énoncées dans le RGPD
- superviser le traitement, y compris la réalisation d’audits et de contrôles de la Société, si nécessaire et à ses frais.
4. Obligation de la Société, au nom du Client
La Société s’engage à :
4.1. traiter les données uniquement aux seules fins pour lesquelles elles sont externalisées,
4.2. traiter les données conformément aux instructions documentées du Client, le responsable du traitement.
Si la Société estime qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou de l’État membre relative à la protection des données, elle en informe immédiatement le Client. En outre, si la Société est tenue de transférer des données vers un pays tiers ou une organisation internationale en vertu du droit de l’Union ou d’un État membre auquel elle est soumise, la Société informe le responsable du traitement de cette obligation légale avant le traitement, à moins que la loi pertinente n’interdise ces informations pour des motifs importants d’intérêt public,
4.3. garantir la confidentialité des données à caractère personnel traitées dans le cadre du Contrat signé par le Client,
4.4. s’assurer que les personnes autorisées à traiter les données à caractère personnel au titre du Contrat conclu par le Client :
- sont tenus à la confidentialité ou sont soumis à une obligation légale appropriée de confidentialité
- recevoir la formation nécessaire sur la protection des données à caractère personnel
4.5. tenir compte des principes de protection des données dès la conception et de protection des données par défaut dans ses outils, produits, applications ou services.
La Société peut utiliser un sous-traitant (ci-après, « le sous-traitant ») pour effectuer des activités de traitement spécifiques. Dans ce cas, il informe le responsable du traitement à l’avance et par écrit de toute modification envisagée concernant l’ajout ou le remplacement de sous-traitants. Ces informations indiquent clairement les activités de traitement traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable du traitement dispose d’un minimum de 7 (sept) jours ouvrables à compter de la date de réception de ces informations pour présenter ses objections. Ce sous-traitement ne peut être effectué que si le responsable du traitement n’a soulevé aucune objection dans le délai convenu.
Le sous-traitant suivant est tenu de respecter les obligations de la présente Politique de Données Personnelles au nom et conformément aux instructions du responsable du traitement. Il est de la responsabilité du sous-traitant d’origine de s’assurer que le sous-traitant suivant fournit les mêmes garanties suffisantes concernant la mise en œuvre de mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences de la protection des données de l’UE Règlement. Si le sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant d’origine reste entièrement responsable envers le responsable du traitement de l’exécution des obligations de l’autre sous-traitant.
4.6. Droit à l’information des personnes concernées.
Il est de la responsabilité du responsable du traitement de fournir des informations aux personnes concernées des opérations de traitement au moment de la collecte des données.
4.7. Exercice des droits des personnes.
Dans la mesure du possible, la Société assiste le responsable du traitement dans l’exécution de son obligation de se conformer aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, Droit de ne pas être soumis à une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent des demandes au sous-traitant pour exercer leurs droits, le sous-traitant doit envoyer ces demandes dès réception par courrier électronique à dpo@bia-aero.fr
Le délégué à la protection des données (DPD) désigné par la Société est Monsieur Walter Dubois.
4.8. Notification des violations de données personnelles
La Société informera le responsable du traitement de toute violation de données personnelles dans un délai maximum de 24 (vingt-quatre) heures après en avoir pris connaissance et par e-mail. Cette notification est accompagnée de toute documentation utile permettant au responsable du traitement, le cas échéant, de notifier cette violation à l’autorité de contrôle compétente.
4.9. Assistance du sous-traitant dans le respect des obligations du responsable du traitement.
La Société apporte son assistance, dans la limite des moyens dont elle dispose, pour toute demande raisonnable du responsable du traitement pour la réalisation d’analyses d’impact relatives à la protection des données. La Société apporte son assistance, dans la limite des moyens dont elle dispose, à toute demande raisonnable du responsable du traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
4.10. Mesures de sécurité
Les Sociétés s’engagent à mettre en œuvre, dans la mesure du possible, les mesures de sécurité appropriées suivantes :
- pseudonymisation et cryptage des données à caractère personnel ;
- les moyens d’assurer le maintien de la confidentialité, de l’intégrité, de la disponibilité et de la résilience des systèmes et des services de traitement;
- les moyens de rétablir la disponibilité et l’accès aux données à caractère personnel en temps opportun en cas d’incident physique ou technique;
- une procédure pour tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement
La Société s’engage à mettre en œuvre les mesures de sécurité raisonnablement appropriées prévues par l’état de la technique tel que spécifié par les recommandations de la CNIL et de l’ANSSI.
4.11. Sort des données
A l’issue des prestations liées au traitement de ces données, la Société s’engage, au choix des Parties :
- détruire toutes les données personnelles ou
- mettre gratuitement à disposition du Client (dans la limite de 60 jours) le responsable du traitement sur un répertoire informatique sécurisé accessible à distance lors de l’authentification de toutes les données personnelles de sa dernière version hébergée (« dump »), à l’exclusion de toute autre version antérieure, ou
- mettre gratuitement à disposition (dans un délai de 60 jours) du sous-traitant désigné par le Client responsable du traitement sur un répertoire informatique sécurisé accessible à distance lors de l’authentification des données personnelles dans leur dernière version hébergée (« dump »), à l’exclusion de toute autre version antérieure
Le retour doit être accompagné de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant (le cas échéant). Une fois détruite, la Société justifiera par écrit, sous forme électronique, la destruction.
Toute demande dépassant ce périmètre (par exemple demande de fourniture d’« instantané » des données, conservation au-delà de 60 jours) fera vraisemblablement l’objet d’une facturation, après devis communiqué préalablement par la Société.
4.12. Registre des catégories d’activités de traitement
La Société déclare tenir un registre écrit de toutes les catégories d’activités de traitement effectuées pour le compte du Client, y compris :
- le nom et les coordonnées du responsable du traitement pour le compte duquel il agit, de tout sous-traitant et, le cas échéant, du délégué à la protection des données ;
- les catégories de traitements effectués pour le compte du responsable du traitement ;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou vers une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, alinéa 2, paragraphe 1, de l’article 49(1) du RGPD, les documents attestant l’existence de garanties appropriées
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris, entre autres, le cas échéant :
- pseudonymisation et cryptage des données à caractère personnel;
- des moyens d’assurer le maintien de la confidentialité, de l’intégrité, de la disponibilité et de la résilience des systèmes et des services de traitement;
- des moyens de rétablir la disponibilité et l’accès aux données à caractère personnel dans des délais appropriés en cas d’incident physique ou technique;
- une procédure pour tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
4.13. Documentation
La Société met à la disposition du responsable du traitement des données du Client, si nécessaire sous forme électronique, la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre et assister aux audits, y compris les inspections, par le responsable du traitement ou un autre auditeur désigné par le responsable du traitement.
La Société met en œuvre tous les moyens et procédures raisonnablement appropriés pour assurer l’intégrité, la confidentialité et la sécurité des données traitées. En particulier, la Société ne transmettra ni ne communiquera à des tiers les données traitées par le Service.
La Société propose au Client une possibilité d’exportation/portabilité des données. Toute demande de portabilité qui dépasserait (par exemple retraitement des données, conservation au-delà de 60 jours après annulation) le périmètre d’une demande raisonnable fera vraisemblablement l’objet d’une facturation, après devis communiqué préalablement par la Société.
5. Collecte de données personnelles dans le cadre du Service fourni
Dans le cadre de la souscription aux services proposés par la Société et lors de la fourniture de ces services, la Société collecte les catégories de données suivantes :
- i. Données d’identification : adresse IP (avec port source) de la demande d’abonnement au service, nom, prénom de la personne de contact, adresse e-mail, nom de l’établissement scolaire, le département , le niveau scolaire. Un document pourra être envoyé au Client pour obtenir l’adresse postale, le numéro de téléphone.
- ii. Données de facturation et/ou de paiement : coordonnées bancaires, moyens de paiement, référence de carte de crédit via Stripe
- iii. Données de suivi de la relation client : demandes d’assistance, correspondance avec le Client.
La Société utilise ces données pour les besoins de l’exécution et de la gestion du Contrat souscrit par le Client, de la sécurité du compte du Client, ainsi que pour satisfaire aux obligations légales en matière d’identification des créateurs de contenus sur Internet. Les coordonnées bancaires du Client seront utilisées par la Société pour la facturation, le paiement et le recouvrement de toute somme due et résultant d’un contrat conclu avec la Société.
Cela comprend la gestion du compte Client et la relation contractuelle, l’installation, la maintenance, la fourniture et la gestion du service souscrit, la fourniture d’assistance et le traitement des demandes, la facturation du service, la gestion des plaintes et des litiges et des procédures de recouvrement, également par l’intermédiaire de tiers. Ces données sont conservées pendant le temps nécessaire à la gestion du contrat et/ou pour la durée légale. Sans ces données, la Société ne pourrait pas exécuter les services souscrits par le Client et lui garantir un haut niveau de protection des données.
La Société peut également utiliser ces données lorsqu’elle a un intérêt légitime. Ces données permettront ainsi à la Société d’évaluer la performance des services fournis au Client afin de les améliorer et d’en développer de nouveaux, ainsi que de mener des actions de développement de fidélisation, de prospection, d’enquête et de promotion.
Les données fournies par le Client pourront également être utilisées pour assurer la sécurité du réseau de la Société et pour prévenir d’éventuelles fraudes ou dans le cadre de fusions, cessions d’actifs ou transferts de tout ou partie de son activité, en transférant les données personnelles du Client à des tiers ou des parties impliquées dans la transaction dans le cadre de la transaction.
Ces données seront conservées pendant le temps nécessaire à la réalisation de ces finalités et pendant une durée maximale de 24 (vingt-quatre) mois à compter de la fin de la relation contractuelle concernant le marketing direct.
La Société peut également utiliser ces données pour se conformer à ses obligations légales (y compris les lois anti-fraude, les lois sur le blanchiment d’argent et les dispositions concernant le retard ou le non-paiement par le Client) et/ou de répondre aux demandes des autorités publiques et gouvernementales françaises dans l’exercice de leurs missions conférées par les lois et règlements en vigueur.
Le Client peut à tout moment accéder à ses données, les rectifier, demander leur suppression, s’opposer à un traitement pour des raisons légitimes en raison de sa situation particulière ou exercer son droit à la portabilité de vos données, via la console de gestion de compte en ligne ou par courrier postal en prouvant son identité à : EI Walter Dubois – Informatique et Libertés – rue du Poncelet 02450 FESMY LE SART – France. Vous pouvez contacter notre délégué à la protection des données à tout moment à l’adresse suivante : dpo@bia-aero.fr. Le délégué à la protection des données (DPD) désigné par la Société est Monsieur Walter Dubois.
Les données dont la Société a besoin aux fins pour lesquelles elles ont été collectées, nécessaires au respect d’une obligation légale et / ou à l’établissement, l’exercice ou la défense des droits légaux ne peuvent pas être supprimées.
En contactant le Délégué à la Protection des Données de la Société, le Client peut également définir des directives concernant le sort de vos données personnelles après son décès.
En cas de réclamation à laquelle la Société n’aurait pas donné une réponse satisfaisante, le Client a la faculté de s’adresser à la Commission Nationale de l’Informatique et des Libertés (CNIL) en charge du respect des obligations en matière de données personnelles.
bia-aero.fr – Février 2024