Politique de protection des données

Politique de protection des données à caractère personnel Aexae

Aexae s’est engagée de façon très active à respecter toutes les obligations légales en matière de protection des données à caractère personnel, notamment en s’engageant dans la conformité au Règlement (UE) 2016/679, dit Règlement Général pour la Protection des Données (« RGPD ») et à la précédente Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004 (« Loi Informatique et Libertés »).

C’est pourquoi avec l’entré en vigueur le 25 mai 2018 nous avons redéfini et formalisé notre politique de protection de la vie privée dans le présent document dit « Politique de protection des données à caractère personnel ».

La présente politique de protection de vos données est destinée à vous informer de nos choix et de nos pratiques en matière de respect de la vie privée, ainsi que des options que vous pouvez opérer sur la manière dont vos coordonnées sont recueillies et comment elles sont utilisées.

Elle complète les contrats d’Aexae communément signés avec les Clients.

De manière synthétique, Aexae s’engage à :

  • ne traiter que des données loyalement et licitement collectées,
  • ne traiter les données ainsi collectées que dans le cadre des finalités déterminées, explicites et légitimes,
  • ne traiter que les données adéquates, pertinentes et non excessives au regard de ces finalités,
  • prendre toutes précautions utiles afin de préserver la sécurité des données, afin notamment d’empêcher qu’elles ne soient déformées, altérées, endommagées,
  • ne pas communiquer ces données à des tiers en dehors de l’entreprise sans en informer les personnes concernées.

La présente politique de protection des données n’est pas figée et pourra évoluer en fonction de la règlementation, tant nationale qu’européenne, ainsi qu’en fonction de la doctrine et des lignes directrices dictées par la Commission Nationale Informatique et Liberté (CNIL), autorité indépendante de contrôle pour la France.

1 : Collecte et traitement des données

Dans le cadre de sa relation clients, prospects, candidats ou fournisseurs, Aexae est amenée à collecter et traiter des données à caractère personnel nécessaires à son activité d’éditeur de logiciels (suivi de ses clients, support, gestion de ses prospects, gestion de ses candidats, gestion de ses fournisseurs…).

Pour ce faire, nous nous abstenons, s’agissant des informations nominatives que vous nous confiez, de toute collecte indirecte, de toute utilisation détournée, et d’une manière générale, de tout acte susceptible de porter atteinte à votre vie privée ou à votre réputation.

De manière générale, nous ne sommes en droit de traiter vos données qu’à partir du moment où vous nous en donnez explicitement l’autorisation en validant la case « J’accepte… » (ou tout autre mention similaire) présente sur les formulaires de recueil de consentement. Par la suite, si nous avons une relation contractuelle, le traitement sera légitime et nécessaire dans le cadre du suivi de celle-ci, dans la mesure où vous serez partie ou associée à l’exécution des mesures précontractuelles ou contractuelles engagées avec nous.

Aexae veille ainsi à ne collecter que des données strictement nécessaires à la finalité déclarée des différents traitements mis en œuvre par la société. Lors de l’initialisation de notre relation contractuelle, d’une demande de contact, de démonstration, d’inscription à un évènement ou à une lettre d’information, les données suivantes sont collectées pour les besoins des services fournis par la société :

  • Nom et prénom
  • Entreprise
  • Fonction
  • N° de téléphone
  • Adresse e-mail
  • Adresse postale

2 : Finalités du traitement

Les données que nous collectons ont une finalité précise, et ne sont pas utilisées à d’autres fins. Nos finalités sont déterminées, légitimes, explicites et compatibles avec nos missions, en l’occurrence notre activité d’éditeur de logiciels.

Aexae utilise les données à caractère personnel que vous lui confiez pour :

  • fournir les services contractuels demandés,
  • vous contacter suite à une demande de démonstration de nos produits, de contact ou d’une demande de téléchargement d’un contenu,
  • vous adresser des informations en cas de choix exprès en ce sens, jusqu’à votre éventuelle opposition/désinscription,
  • vous inscrire à un évènement et le gérer,
  • gérer les options de votre abonnement à nos éventuelles publications,
  • le cas échéant, vous proposer des services complémentaires ou optionnels jusqu’à une éventuelle opposition de votre part.

Par ailleurs, Aexae traite également vos données pour répondre à ses obligations légales ou règlementaires dont les finalités sont la conservation des données requises pour être mesure de répondre aux obligations légales et la gestion des demandes de communication de données des autorités habilitées.

3 : Destinataires des données

Aexae ne communique pas les données de ses clients, prospects, candidats ou fournisseurs à des tiers et n’en fait aucun commerce.

Vos données à caractère personnel peuvent être transmises à des tiers pour les seuls besoins des finalités. En interne:

  • la direction de notre société, le personnel administratif
  • les personnes responsables du suivi commercial au travers de la personne en contact de votre société
  • les techniciens du support appelés à intervenir sur votre environnement à votre demande

En externe:

  • pour l’usage des sous-traitants dans le cadre d’une prestation d’hébergement
  • des sous-traitants pour l’usage d’outils de gestion de support (ITSM)

Les données traitées peuvent enfin, être transmises aux autorités compétentes, à leur demande, dans le cadre de procédures judiciaires, dans le cadre de recherches judiciaires et de sollicitations d’information des autorités ou afin de se conformer à d’autres obligations légales.

4 : Conservation des données

Aexae ne conserve les données à caractère personnel de ses clients, prospects, candidats ou fournisseurs que pendant le temps nécessaire aux opérations pour lesquelles elles ont été collectées et dans le respect de la réglementation en vigueur.

  • Les données relatives aux clients sont conservées pendant une durée de 10 ans maximum à compter de la fin du dernier contrat entre Aexae et le client.
  • Les données relatives aux fournisseurs sont conservées pendant une durée de 10 ans maximum à compter de la fin du dernier contrat entre Aexae et le fournisseur.
  • Les données relatives aux prospects sont conservées pendant une durée de 3 ans maximum à compter du dernier contact entre Aexae et le prospect.
  • Les données relatives aux candidats sont conservées pendant une durée de 3 ans maximum à compter du dernier contact entre Aexae et le candidat.

5 : Sécurité des données

Aexae détermine et met en œuvre les moyens nécessaires à la protection des données à caractère personnel pour éviter des risques résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

Ces moyens consistent en des mesures d’ordre logique, physique ou organisationnel appropriées visant à garantir un niveau de sécurité adapté au risque dans les sens de l’article 32 du RGPD. Ils comprennent entre autres, selon les besoins :

  • Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
  • L’anonymisation, la pseudonymisation ou le chiffrement des données à caractère personnel dès que possible et selon des méthodes adaptées au besoin;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
  • La sécurisation de l’accès aux données par des systèmes de sécurité forts selon les cas : identification par certificat, double authentification ou autres processus mis en place par Aexae.
  • La sensibilisation et/ou la formation de nos collaborateurs en termes de sécurité informatique et de protection de la vie privée.

Ainsi, la politique de protection des données personnelles traitées par Aexae s’organise autour de mesures d’ordre logique, physique ou organisationnel visant à répondre à l’article 32 du RGPD.

6 : Accès restreint aux données

Aexae définit et met en œuvre les règles d’accès et de confidentialité applicables aux données personnelles traitées.

Le niveau de détail accessible est défini selon l’habilitation/le profil de chaque utilisateur de l’un des 4 profils ci-dessous :

  • Direction
  • Opérations/Consultants
  • Développeurs
  • Support et cela par logiciel pour les 3 derniers profils.

Seules les personnes dûment habilitées peuvent donc accéder à certains détails de données, dans le cadre d’une politique de sécurité permettant notamment la restriction des accès aux seules informations nécessaires à l’activité.

Les droits d’accès, accordés en adéquation avec la fonction de l’utilisateur, sont mis à jour en cas d’évolution ou de changement de fonction.

7 : Transfert des données

Aexae ne transfère pas les données personnelles de ses clients, prospects, candidats ou fournisseurs d’un pays ou d’une filiale à l’autre à travers le monde.

Si un tel transfert devait se révéler nécessaire, en l’occurrence à destination d’un pays situé hors de l’Union européenne, ce transfert s’inscrirait dans le cadre de la finalité poursuivie par le traitement auquel les données sont destinées.

Dans ce cas, les destinataires de données auraient uniquement communication des catégories de données nécessaires à la réalisation de ladite finalité.

Plus généralement Aexae ne procéderaient au transfert des données qu’en conformité avec les dispositions des articles 44 à 50 du RGPD.

8 : Droits des personnes concernées par la collecte et le traitement des données à caractère personne

Les personnes concernées peuvent exercer certains droits concernant leurs Données.

En particulier, les personnes concernées ont le droit de faire ce qui suit :

Retirer leur consentement à tout moment. Les personnes concernées ont le droit de retirer leur consentement s’ils ont déjà donné leur consentement au traitement de leurs Données personnelles.

S’opposer au traitement de leurs Données. Les personnes concernées ont le droit de s’opposer au traitement de leurs Données si le traitement est effectué sur une base juridique autre que le consentement. Des précisions sont ajoutées dans la section correspondante ci-dessous

Accéder à leurs Données. Les personnes concernées ont le droit de savoir si les Données sont traitées par le Propriétaire, d’obtenir des informations sur certains aspects du traitement et d’obtenir une copie des Données en cours de traitement.

Vérifier et obtenir une rectification. Les personnes concernées ont le droit de vérifier l’exactitude de leurs Données et de demander qu’elles soient mises à jour ou corrigées. Limiter le traitement de leurs Données. Les personnes concernées ont le droit, sous certaines conditions, de limiter le traitement de leurs Données. Dans ce cas, le Propriétaire traitera leurs Données uniquement pour les stocker.

Faire supprimer ou effacer leurs Données personnelles. Les personnes concernées ont le droit, sous certaines conditions, d’obtenir l’effacement de leurs Données auprès du Propriétaire.

Récupérer leurs Données et les transférer à un autre responsable du traitement. Les personnes concernées ont le droit de récupérer leurs Données dans un format structuré, couramment utilisé et lisible par machine et, si cela est techniquement possible, de les transmettre à un autre responsable du traitement sans obstacle d’aucune sorte. Cette disposition s’applique, sous réserve que les Données soient traitées par des moyens automatisés et que le traitement repose sur le consentement de l’Utilisateur, sur un contrat auquel l’Utilisateur est partie ou sur des obligations précontractuelles.

Lorsque les Données personnelles sont traitées dans l’intérêt public, dans l’exercice d’une autorité officielle dévolue au Propriétaire ou aux fins des intérêts légitimes poursuivis par celui-ci, les Utilisateurs peuvent s’opposer à ce traitement en fournissant un motif lié à leur situation particulière devant justifier cette opposition.

Ces droits sont décrits dans les articles 15 à 22 du RGPD. La personne concernée peut exercer ces droits en envoyant sa demande à dpo@aexae.fr accompagnée des pièces justifiant notamment de son identité et de sa signature.

9 : Les acteurs de la protection des données chez Aexae

Dans le cadre de l’entrée en vigueur du RGPD le 25 mai 2018, Aexae s’est doté d’un Délégué à la Protection des Données ou Data Protection Officer (DPD ou DPO) directement rattaché à la direction de Aexae.

Le DPO s’assure en permanence de la conformité de l’ensemble des traitements de données à caractère personnel ayant cours au sein de Aexae.

Le DPO peut être contacté à l’adresse dpo@aexae.fr.

10 : Maintien des dispositions non contraires des CGV et/ou du contrat de Aexae

La présente politique de protection des données vient compléter les CGV et/ou le contrat de Aexae dont les dispositions non contraires demeurent applicables.

11 : Devoir d’information de nos clients envers les personnes concernées

Dans le cadre de son activité d’éditeur de logiciels et de leur utilisation par ses clients, et conformément au RGPD, Aexae informe et encourage ses clients à informer la personne auprès de laquelle sont recueillies des données à caractère personnel :

  • De l’identité et des coordonnées du responsable du traitement interne et, le cas échéant, du représentant du responsable du traitement;
  • Le cas échéant, des coordonnées du délégué à la protection des données interne ;
  • Des finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
  • Le cas échéant, des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
  • Des destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent;
  • Le cas échéant, du fait que le responsable du traitement interne a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale;
  • De la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
  • De l’existence du droit de demander au responsable du traitement interne l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données;
  • Le cas échéant, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
  • Du droit d’introduire une réclamation auprès d’une autorité de contrôle;
  • Des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
  • De l’existence d’une prise de décision automatisée, y compris un profilage.
  • En l’absence de contact individualisé avec la personne concernée par la collecte et le traitement Aexae encourage ses clients à informer ladite personne par tous les moyens possibles (email, affichage, contrat…) et notamment les processus et procédures permettant l’utilisation de ses logiciels.