Règles de confidentialité – Protection des données à caractère personnel

Lorsque vous utilisez les services OF360, vous nous faites confiance pour le traitement de vos données et de celles de vos clients. Les présentes règles de confidentialité visent à vous indiquer quelles informations nous collectons, pour quelle raison, et comment nous les utilisons. Ces règles sont importantes et nous espérons que vous prendrez le temps de les lire attentivement. En tant que sous-traitant des données que vous stockez pour vos clients, nous avons un devoir d’aide et de conseils. Sachez cependant que vous êtes responsables de votre traitement de ces données et devez vous-même vous mettre en conformité avec le RGPD.

Lysia, situé 2 rue Bâle, 68180 Horbourg-Wihr, France, s’engage à protéger les Données à Caractère Personnel des Utilisateurs. Ces règles de confidentialité font partie des CGV. En utilisant OF360, les Utilisateurs s’engagent à respecter et à être liés par ces Règles de Confidentialité, qui peuvent être modifiées ou mises à jour à tout moment sans préavis. Toute modification ou mise à jour seront mises en ligne sur le site Internet.

Lysia est l’entité responsable du traitement des données à caractère personnel sur le logiciel OF360.

Information générale

 

RGPD

En tant qu’éditeur de logiciel SaaS, nous sommes au quotidien amenés à traiter de nombreuses données au même titre que nos clients. Certaines de ces données ont un caractère personnel dont la protection dépend du Règlement général sur la protection des données (RGPD), prévu pour entrer en vigueur en mai 2018. Pas question pour nous d’ignorer cette nouvelle réglementation européenne au prétexte qu’elle ne nous concerne pas… Car dès 2018, elle devra faire partie intégrante de notre stratégie liée à la protection des données.

Le RGPD vous concerne aussi Le RGPD, ça vous dit quelque chose ? Il s’agit du Règlement général sur la protection des données établi au niveau européen, et prévu pour entrer en vigueur le 25 mai 2018. Son but : renforcer et uniformiser la protection des données à caractère personnel au sein des pays de l’Union européenne, en remplacement de la directive de 1995. En tant que sous-traitant travaillant pour le compte du responsable du traitement (le client), nous sommes aussi concernés par les obligations qui découlent de ce règlement. En voici trois exemples.

Accountability : une attestation de conformité indispensable Le RGPD concerne les responsables de traitement – les clients finaux – et les sous-traitants. À travers la notion d’ »accountability », les organismes responsables du traitement devront démontrer leur conformité aux obligations légales tout comme les éditeurs. En effet, les deux entités ont une “responsabilité conjointe” vis à vis des données et devront donc rédiger un contrat stipulant les responsabilités et le rôle de chacun.

Privacy by design : la sécurité des données par défaut De la notion d’accountability en découle une autre : celle de Privacy by design. Ce principe suppose de prendre en compte la protection des données personnelles dès l’étape de la conception des produits, systèmes et services, lorsque ceux-ci sont utilisés pour l’exploitation d’informations qui tombent sous le coup du RGPD. Non seulement les responsables de traitement doivent s’assurer de la conformité des solutions qu’ils créent en interne, mais ils doivent également le faire pour les outils développés par un sous-traitant. Les logiciels SaaS devront donc tous intégrer la notion de Privacy by design ainsi qu’un système de sécurisation des données (Security by default).

Savoir répondre aux exigences des utilisateurs En outre, le RGPD confère aux utilisateurs un certain nombre de droits en regard de leurs données personnelles : le consentement explicite et positif, le droit à la portabilité (toute personne peut demander à obtenir les données fournies pour pouvoir les transmettre à un autre responsable du traitement) ou encore le droit à l’effacement (« droit à l’oubli »). Dans ce contexte, les prestataires devront aider leurs clients à mettre en œuvre les mesures techniques et organisationnelles permettant de répondre aux exigences des utilisateurs. Et intervenir pour corriger les éventuels défauts qui pourraient remettre en cause cette conformité ! D’où la mise en place d’un contrat qui devra être signé entre les clients et les éditeurs afin d’expliciter les responsabilités de chacun.

En raison des contraintes qu’il impose aux responsables du traitement, le RGPD va pousser les clients à choisir leurs éditeurs de logiciels SaaS avec plus de soin. Ils voudront s’assurer que ces prestataires présentent des garanties suffisantes au regard de la nouvelle réglementation et que leurs outils sont bien sécurisés par défaut. La conformité des solutions en mode SaaS va donc devenir à court terme un vrai critère de choix !

 

Informations collectées

Lysia ne collectera jamais ou ne traitera jamais de Données à Caractère Personnel concernant, directement ou indirectement, la race, la santé, l’orientation sexuelle, les opinions politiques, philosophiques et religieuses. Les Utilisateurs ne doivent pas stocker ces Données à Caractère Personnel sur OF360.

  • Pour obtenir des informations supplémentaires ou lors de la création d’un compte sur le logiciel SaaS OF360, la Société Lysia vous demande de fournir vos coordonnées.
  • Pour l’utilisation du service OF360, la Société vous demande de fournir vos informations de facturation.
  • Pour l’utilisation du service OF360, la Société collecte les données de gestion, des clients et des utilisateurs pour diverses utilisations décrites ci-dessous.
  • Lysia collecte des données d’utilisation et de trafic sur le logiciel OF360.

Utilisation des informations

  • Lysia utilise les informations collectées pour fournir des services d’utilisation du logiciel OF360, la vente et le marketing de ses services, l’analyse de l’utilisation du logiciel pour l’amélioration du produit et des services proposés.
  • Lysia peut exploiter les données collectées pour vous communiquer des informations supplémentaires sur les Services et événements de la Société.
  • Lysia peut également communiquer ces données à des sous-traitants pour améliorer le logiciel de la Société et ses Services et l’assister dans ses missions de facturation, paiement, service d’aide et de support ou de communication.
  • Lysia ne procède ni au partage, ni à la vente, la location ou l’échange de données à caractère personnel avec des tiers à des fins promotionnelles.

Des données hébergées uniquement en France

Vos données sont stockées sur nos serveurs, hébergées en France. Le contrôle de la sécurité des serveurs et de la mise à jour de nos logiciels d’exploitation est effectué en permanence.

La maîtrise de notre infrastructure technique nous permet de contrôler la confidentialité de vos données, qui ne sortent jamais de nos machines sans votre accord explicite. Notre équipe technique est employée sous juridiction française.

Des sauvegardes quotidiennes de vos données

L’ensemble de vos données est sauvegardé quotidiennement par nos serveurs afin que vos données soient en sécurité et facilement récupérées en cas de problème. Toutes les données sont répliquées en temps réels sur deux serveurs géographiquement séparées. De plus, des sauvegardes (backups) sont réalisés quotidiennement plusieurs fois par jours sur des serveurs également différents. Nous sommes a priori en mesure de basculer quasi instantanément sur un serveur de secours en cas d’incident sur un serveur principal et, quoi qu’il arrive, nous sommes capable de rétablir le logiciel dans un délai raisonnable tel qu’engagé dans nos CGVs.

Le cryptage des transferts

Toutes les informations échangées avec OF360 sont cryptées via un cryptage haute protection SSL 256 bits.

Données du client

Les Clients de Lysia peuvent soumettre par voie électronique des données ou des informations aux Services de la Société (les « Données du client »). Sauf disposition contraire prévue par la loi, Lysia ne procédera ni à l’examen, ni au partage, ni à la distribution ni au référencement des Données du client. Lysia peut accéder aux Données du client aux seules fins d’exécuter les Services et de prévenir ou résoudre les problèmes techniques ou de service, à la demande du client lorsque ceci est en lien avec des questions de support client ou lorsque ceci est requis par la loi.

Données autres qu’à caractère personnel

Trafic

OF360 peut recueillir les données suivantes : origine de la connexion, le type et la version du navigateur Internet de l’Utilisateur, la durée de connexion, etc. Ces données peuvent être utilisées à des fins statistiques pour analyser le trafic et pour améliorer OF360.

Cookies

OF360 dépose des cookies sur les terminaux des Utilisateurs. Ces petits fichiers peuvent contenir, par exemple, les données de trafic et les préférences des Utilisateurs, dont les objectifs sont :

  • authentifier les Utilisateurs ;
  • enregistrer les visites des Utilisateurs et leur origine ;
  • enregistrer certaines préférences des Utilisateurs.

Les cookies sont obligatoires pour utiliser OF360 et par conséquent doivent être acceptés par les Utilisateurs. Les Utilisateurs peuvent configurer leur navigateur pour désactiver les cookies ou les avertir avant d’accepter un cookie sur les sites web qu’ils visitent. Cependant, si les Utilisateurs désactivent les cookies, ils peuvent ne pas être en mesure d’utiliser toutes les fonctionnalités de OF360.

La durée de la validité des cookies est de douze (12) mois.

Conservation des données

Les Données à Caractère Personnel communiquées par les Utilisateurs sont hébergées par Lysia. Les Données à Caractère Personnel traitées par Lysia seront supprimées au plus tard trois (3) ans après la suppression par les Utilisateurs de leur Compte ou après trois (3) années d’inactivité du Compte des Utilisateurs.

Lysia a l’obligation légale de conserver pendant une durée de dix (10) ans les Factures d’abonnement émises pour nos Clients.

Annulation de Compte

Les Utilisateurs peuvent demander que leur compte soit supprimé en application des CGV. Leurs données seront supprimées par Lysia.

Préférences en matière de communication

Tous les emails marketing ou d’informations envoyés par Lysia contiennent des instructions indiquant comment ne plus recevoir d’emails de ce type.

Exercice des droits des utilisateurs

Conformément à la loi française du 6 Janvier 1978 dite « Informatique et Libertés », les Utilisateurs disposent d’un droit d’accès, de modification et d’opposition au traitement, ils peuvent demander la suppression des Données à Caractère Personnel collectées ou traitées par Lysia.

Les Utilisateurs peuvent exercer ce droit en écrivant à Lysia via son service de support technique interne à OF360 ou via [email protected].

Les Utilisateurs peuvent également modifier leurs Données à Caractère Personnel directement à partir de leur compte.