Politique de Confidentialité

1)   Introduction

Cette politique a pour but de présenter les règles relatives à la protection des données personnelles en qualité de responsable de traitement et sous-traitant que Eksaé (ci-après « Eksaé ») s’engage à respecter. Ces règles proviennent de l’application du Règlement Général sur la Protection des Données Ref UE 2016/679 (ou « R.G.P.D ») relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ce règlement abrogeant la directive 95/46/CE.

Ce document est susceptible d’évoluer, notamment lorsque cela sera nécessaire pour répondre aux obligations de la législation sur la protection des données personnelles.

Les notions concernant la protection des données personnelles utilisées dans ce document ont le même sens que celui donné par le RGPD, notamment à l’article 4 du RGPD.

 

2)   Respect des principes généraux sur la protection des données personnelles

2.1) Lorsque EKSAE agit en qualité de responsable de traitement

En application de l’article 5 du RGPD, Eksaé et ses propres sous-traitants garantissent que les données personnelles sont :

  • traitées de manière licite, loyale et transparente;
  • collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement d’une manière incompatible avec ces finalités;
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées;
  • exactes et, si nécessaire, tenues à jour;
  • conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;
  • traitées de façon à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite, contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées et adaptées aux risques.

 

2.2) Lorsque EKSAE agit en qualité de sous-traitant

En application de l’article 28 du RGPD, Eksaé garantit que :

  • les finalités du traitement sont décrites dans le contrat signé entre Eksaé et son client;
  • les traitements effectués sur les données personnelles de son client sont effectués uniquement pour les finalités déterminées et sur ses instructions dans les conditions prévues par le contrat;
  • la suppression des données personnelles soit engagée au terme et dans les conditions prévues au contrat, sauf si le droit applicable exige cette conservation.

 

3)   Finalité et bases légales des traitements de données personnelles

3.1) Lorsque Eksaé agit en qualité de responsable de traitement

Pour ses besoins internes d’amélioration de ses services et de statistiques, Eksaé collecte des données personnelles à des fins notamment de :

  • gestion de ses contacts clients et prospects;
  • gestion de ses contrats commerciaux;
  • gestion du personnel Eksaé et du recrutement;
  • création de compte utilisateur;
  • réalisation et gestion des services souscrits par ses clients.

 

Selon ces différentes finalités, Eksaé s’assure que l’une des conditions suivantes soit remplie :

  • le consentement du client a été sollicité et obtenu pour une ou plusieurs finalités ;
  • le traitement est nécessaire à l’exécution d’un contrat ;
  • ou à l’exécution de mesures précontractuelles réalisées à la demande du client ;
  • le traitement est nécessaire au respect d’une obligation légale à laquelle Eksaé est soumise;

 

4)   Sécurité et notification des violations de données

L’hébergement des offres d’Eksaé et des données personnelles collectées pour l’exécution d’un contrat liant Eksaé à un client est assuré par Claranet (2 Rue Bréguet – 75011 PARIS)  qui dispose de la certification ISO 27001, ISO 27002, ISO 27018 et CHDS. .

Claranet pourra être amené à être substitué par un autre hébergeur offrant le même niveau de protection des données sur information préalable du client.

Cette certification garantie la mise en place d’une politique de sécurité certifiée appliquée aux processus et workflow de Eksaé pendant toute la durée de vie du service SaaS délivré au client.

Plus généralement, les employés de Eksaé sont soumis à une charte informatique annexée au règlement intérieur permettant d’assurer un niveau de sécurité adapté.

 

En application des articles 33 et 34 du RGPD, toute violation de données sera notifiée par Eksaé, à ses clients impactés par ladite violation dans les conditions du contrat entre Eksaé et ses clients.

 

5)   Droit des personnes

Dans les conditions des articles 15 et 22 du RGPD, les personnes physiques ont le droit de :

  • accéder aux données personnelles les concernant et traitées par Eksaé ;
  • demander la rectification, l’effacement ou la limitation du traitement de leurs données personnelles effectués par Eksaé ;
  • dans certaines conditions, s’opposer au traitement de leurs données personnelles ;
  • demander la portabilité des données personnelles ;
  • retirer leur consentement sur un traitement.

Les demandes liées à ces droits peuvent être effectuées en complétant le formulaire « Droit des personnes » disponible sur cette page.

Eksaé se réserve le droit de demander des précisions sur toute demande et de justifier de l’identité du demandeur.
En tout état de cause, Eksaé recommande de se rapprocher de la CNIL pour en savoir plus sur la règlementation relative à la protection des données personnelles, les droits des personnes physiques et la possibilité d’introduire une réclamation auprès de cette autorité : https://www.cnil.fr/ 

 

Dans le cas où Eksaé reçoit une demande de la part d’une personne physique concernée par le traitement de ses données personnelles, dans le cadre de la réalisation du contrat entre Eksaé et son client, Eksaé communiquera cette demande à son client dans les meilleurs délais selon les dispositions du contrat et notamment du plan d’assurance sécurité.

Le client reste néanmoins responsable de la réponse à apporter à la personne physique concernée

 

6)   Information des personnes physiques

Lors de la collecte des données personnelles, Eksaé s’engage à fournir aux personnes physiques concernées les informations suivantes quel que soit le traitement effectué :

  • les coordonnées du responsable de traitement : M. Philippe HANNES, privacy@eksae.fr ou dpo@eksae.fr
  • les finalités du traitement présentent sur le Registre des Traitements;
  • les destinataires;
  • les transferts hors UE le cas échéant;
  • la durée de conservation;
  • le lien vers le formulaire d’exercice du droit des personnes;
  • le droit d’introduire une réclamation auprès de l’autorité de contrôle, tel que défini dans le « R.G.P.D ».

 

Selon l’article 13 du RGPD, la responsabilité d’informer les personnes physiques incombe au client en sa qualité de responsable de traitement.

Dans les conditions prévues par le contrat liant Eksaé à ses clients, Eksaé fournit à ses clients toute information utile pour lui permettre de respecter l’article 13 du RGPD.

 

7)   Coopération de Eksaé avec ses clients et l’autorité de contrôle

Conformément à l’article 28 du RGPD et dans le respect de ses engagements contractuels, Eksaé s’engage à raisonnablement coopérer avec ses clients afin de les aider à répondre à leurs obligations en application des articles 32 à 36 du RGPD.

De manière générale, Eksaé s’engage à coopérer avec l’autorité de contrôle française (CNIL) lorsque cela est nécessaire et à prendre en compte ses recommandations.

 

8)   Privacy by design dans les produits et services

En sa qualité d’éditeur, lorsqu’Eksaé prévoit de développer un nouveau service ou une nouvelle offre, il intègrera les principes dès le début de ce projet les principes de protection des données personnelles (“privacy by design”), afin d’aider ses clients à se conformer aux exigences de la règlementation applicable.

 

9)   Sensibilisation du personnel Eksaé

L’ensemble des nouveaux collaborateurs chez Eksaé doit obligatoirement suivre une sensibilisation relative à la protection des données personnelles.

Plus généralement, Eksaé met tout en œuvre pour proposer à tous ses collaborateurs des formations régulières aux enjeux de la protection des données personnelles.

Des sensibilisations ou formations plus spécifiques peuvent être effectuées à destination de collaborateurs qui sont amenés à manipuler de façon régulière des données personnelles.

 

10) Gouvernance de la protection des données personnelles

Afin de piloter la protection des données personnelles, Eksaé s’est dotée d’une gouvernance dédiée.

Un Délégué à la Protection des Données, ou Data Protection Officier (DPO) a été nommé au mois d’Août 2019 et a été déclaré auprès de la CNIL. Ce dernier pilote cette gouvernance.

Un comité stratégique agit en transverse sur l’ensemble des activités de l’entreprise en s’appuyant sur un comité opérationnel composé du DPO, de relais au sein des différents métiers de Eksaé .

 

11) Registre des traitements

En application de l’article 30 du RGPD, Eksaé maintient deux registres de traitement de données personnelles :

  • un registre décrivant les traitements effectués en qualité de responsable de traitement;
  • un registre décrivant les traitements effectués pour le compte et sur les instructions de ses clients responsables de traitement.

Ces registres sont mis à la disposition de la CNIL sur demande.

 

12)                 Politique contractuelle

Eksaé a pris en compte ses obligations contractuelles  en application de l’article 28 du RGPD pour tous ses contrats.

 

Contact

Pour toute question relative à cette politique, vous pouvez envoyer votre demande à l’adresse de courrier électronique suivante : privacy@eksae.fr

 

 

 

Données personnelles collectées sur les formulaires du site Eksae.fr

Selon la nature du formulaire, Eksaé, sous-traitant du responsable de traitement, situé au 10 Rue Vignon, 75009 Paris (France), est susceptible de collecter les données personnelles suivantes : Nom, prénom, adresse email, numéro de téléphone, , société. Ces données personnelles sont traitées par Eksaé uniquement à des fins de gestion de son fichier client et prospect et de communication commerciale.

Vous pouvez contacter Eksaé pour plus d’information à ce sujet.

Ces données seront conservées uniquement pour la durée nécessaire pour la réalisation de l’objet du traitement et vous pouvez exercer vos droits conformément à la politique de confidentialité de Eksaé en complétant le formulaire « Droit des personnes » disponible plus bas sur la présente page.

 

Droit des personnes

Dans les conditions prévues par le « RGPD », vous disposez, concernant les traitements de données personnelles qui sont effectués par Eksaé sur vos données personnelles, d’un droit d’accès, de rectification, d’effacement (ou « droit à l’oubli »), de portabilité et d’opposition.

Vous pouvez faire votre demande en complétant le formulaire ci-dessous.

Vous disposez aussi au droit d’introduire une réclamation auprès de la CNIL