La-Facture-Electronique.fr est la propriété de Sages Informatique (éditeur de la solution de gestion électronique de document en ligne nommée Zeendoc).
Le siège social de Sages Informatique est situé Lieu-dit Cacciariccia, route de Mezzavia, 20167 AFA, France. Sages Informatique est enregistrée au registre du commerce et des sociétés sous le numéro SIREN 430 044 040.
Dans ce qui suit, nous emploierons souvent « Zeendoc » pour désigner la société Sages Informatique, car c’est le nom qui est connu des utilisateurs.
Votre vie privée et vos données personnelles sont d’une importance primordiale pour nous. Chez Zeendoc nous avons des principes fondamentaux :
- Nous vous demandons ou traitons vos informations personnelles seulement si c’est indispensable ou si vous nous avez donné votre consentement pour le faire.
- Nous ne partageons vos données personnelles avec personne, sauf pour nous conformer à la loi, vous assister ou pour protéger nos droits.
Vous trouverez ci-dessous notre politique d’utilisation des données qui reprend ces principes.
Zeendoc exploite plusieurs sites Web, dont www.zeendoc.com, www.sages-informatique.com, https://www.scancenter.fr/, https://zeenplanet.com, https://www.la-facture-electronique.fr, armoires.zeendoc.com et https://armoires-sante.zeendoc.com. En naviguant sur l’un de ces sites, vous serez considéré comme un professionnel et vous acceptez que les dispositions spécifiques aux consommateurs ne s’appliquent pas. La politique de Zeendoc respecte la confidentialité des informations que nous pouvons être amenés à collecter dans le cadre de l’exploitation de nos sites Web. Zeendoc s’engage, dans le cadre de ses activités et conformément à la législation en vigueur en France et en Europe, à assurer la protection, la confidentialité et la sécurité des données à caractère personnel des utilisateurs de ses services, ainsi qu’à respecter leur vie privée.
1 RESPONSABLE DE TRAITEMENT
En tant que responsable de traitement qui consiste à mettre à disposition de ses clients un système de gestion informatisée de documents en ligne (en mode Saas), Sages Informatique, l’éditeur de Zeendoc, a accompli l’ensemble des formalités administratives nécessaires auprès des autorités compétentes. De manière générale, Zeendoc respecte l’ensemble des lois et règlements relatifs à la protection des données à caractère personnel en vigueur dans les pays où elle exerce ses activités, incluant notamment mais non limitativement :
- à compter du 25 mai 2018, le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du Traitement des Données à Caractère Personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, souvent appelé RGPD) ;
- la loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et ses évolutions. Sages a déposé plusieurs déclarations à la CNIL, dont une, enregistrée sous le n° 2186552, concernant le traitement de données à caractère personnel qui est destiné à fournir le service de Gestion Electronique de Documents Zeendoc.
2 SOUS-TRAITANT
De la même façon, en tant que sous-traitant pour ses clients qui utilisent le système de gestion informatisée de document en ligne (en mode Saas), Sages Informatique, l’éditeur de Zeendoc, a accompli l’ensemble des formalités administratives nécessaires vis-à-vis des autorités compétentes, notamment le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du Traitement des Données à Caractère Personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, souvent appelé RGPD).
Il convient de noter que les documents déposés au sein de Zeendoc sont cryptés avec une clé unique à chaque client, donc unique à chaque armoire virtuelle. Ainsi, ni les employés ou prestataires, ni les utilisateurs finaux dont les comptes ont été créés par les autres clients de Zeendoc ne peuvent accéder au contenu des documents déposés dans votre armoire Zeendoc. Le souscripteur d’un abonnement à Zeendoc peut octroyer explicitement un accès temporaire à son armoire virtuelle, notamment à des employés, prestataires ou partenaires de Zeendoc et en particulier à des fins de support technique. En tout état de cause, c’est le client de Zeendoc qui décide d’octroyer des accès à son armoire et qui en a le contrôle total, y compris en ce qui concerne les documents qui y sont déposés, que seules les personnes auquel il a donné accès peuvent consulter.
3 FINALITÉS ET FONDEMENTS JURIDIQUES
Les traitements de données à caractère personnel effectués par Zeendoc en tant que responsable de traitement poursuivent les objectifs suivants, basés sur les fondements juridiques suivants :
- Mise en œuvre du service de gestion documentaire en ligne Zeendoc : fondements juridiques : relation contractuelle et intérêt légitime de Sages Informatique à proposer un service efficace et pertinent permettant d’assurer sa rentabilité commerciale ;
- Gestion de la relation commerciale avec les Clients, les utilisateurs et les prospects : fondements juridiques : relation contractuelle ou précontractuelle, intérêt légitime de Sages à assurer la rentabilité commerciale de ses offres et services ;
- Assistance des clients, utilisateurs et prospects : fondement juridique : relation contractuelle ou précontractuelle ;
- Gestion des litiges et des contentions : fondement juridique : intérêt légitime de Sages à se prémunir des conséquences fâcheuses d’éventuels litiges et contentions ;
- Etudes et analyses de l’utilisation des services, notamment à des fins d’améliorations des sites et services : fondement juridique : intérêt légitime de Sages à proposer un service efficace et pertinent permettant d’en assurer la rentabilité commerciale.
Zeendoc, en tant que sous-traitant, ne peut pas déterminer toutes les finalités des traitements de données personnelles qui peuvent se trouver contenue dans les documents déposés par ses clients. Ces finalités peuvent être aussi bien l’archivage de documents ne devant pas être autrement traités que la gestion de contentieux, la gestion de comptabilité dont la gestion de factures, la gestion des dossiers d’un cabinet d’avocat, gestion de syndic, etc.
4 DONNÉES TRAITÉES
4.1 DONNÉES CONTENUES DANS LES DOCUMENTS DÉPOSÉS DANS ZEENDOC
Les dispositions relatives aux données contenues dans les documents que vous déposez dans Zeendoc sont régies par nos conditions générales d’utilisation, notamment dans leur section nommée « Clauses relatives à la confidentialité des données personnelles contenues dans les documents déposés dans Zeendoc ». Tout utilisateur final de Zeendoc pour lequel un accès valide a été créé par un client ayant souscrit un abonnement au service a accepté ces conditions générales d’utilisation.
4.1.1 MODALITÉS DU TRAITEMENT ET OBLIGATIONS DES PARTIES LORSQUE SAGES INFORMATIQUE AGIT EN TANT QUE SOUS-TRAITANT RELATIVEMENT AUX DONNÉES À CARACTÈRE PERSONNEL TRAITÉES POUR LE COMPTE DU RESPONSABLE DE TRAITEMENT
4.1.1.1 Objet
La présente clause a pour objet de définir les conditions dans lesquelles SAGES, le Sous-Traitant, s’engage à effectuer pour le compte du Client, le Responsable de Traitement, qui a créé Votre accès au Service, les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données » ou le RGPD).
Pour l’exécution du Service, SAGES INFORMATIQUE (ci-après « le Sous-Traitant ») met à Votre disposition, en tant qu’Utilisateur Final agissant sous l’autorité du Responsable de Traitement (le Client qui a créé votre accès au Service), les informations suivantes :
4.1.1.1.1 Finalité du traitement opéré par le Sous-Traitant
SAGES INFORMATIQUE, le Sous-Traitant est autorisé à traiter pour le compte du Client, le Responsable de Traitement, les données à caractère personnel potentiellement comprises dans les documents que le Responsable de Traitement dépose au sein de Zeendoc.
La nature des opérations réalisées sur les données est définie dans les Conditions Générales d’Utilisation et la documentation relative à Zeendoc.
La finalité du traitement opéré par SAGES INFORMATIQUE est la gestion informatisée des documents du Client Responsable du Traitement, en ligne (dans une infrastructure d’informatique en nuage, Cloud Computing).
Les potentielles finalités ultérieures, pour lesquelles le Client Responsable du Traitement traite les données à caractère personnel potentiellement contenues dans les documents qu’il dépose au sein de Zeendoc sont déterminées par ledit Client Responsable de Traitement. Ces finalités peuvent être, par exemple et sans que cela soit limitant, la gestion de commandes, l’administration des services d’une collectivité locale, la gestion de dossier de contentieux, la gestion de personnel ou de ressources humaines, etc.
4.1.1.1.2 Données à Caractère Personnel traitées dans le cadre du contrat de sous-traitance
Les catégories de données à caractère personnel traitées dans le cadre du service ne sont pas déterminées par SAGES INFORMATIQUE mais par le Client Responsable du Traitement. En effet, il s’agit de données présentes dans les documents déposés dans Zeendoc par le Client, et SAGES INFORMATIQUE n’a aucun contrôle sur la décision que le Client prend de déposer des documents dans Zeendoc ni aucun moyen de déterminer ou de prédire quelles données ces documents contiennent ou contiendront.
Le Responsable de Traitement est la seule Partie en capacité de déterminer et de documenter lesdites catégories de données à caractère personnel.
4.1.1.1.3 Catégories de personnes concernées par les DCP dans le cadre de la sous-traitance
De la même façon, les catégories de personnes concernées par les DCP présentes dans les documents déposés dans Zeendoc par le Client Responsable de Traitement ne sont pas déterminées par SAGES INFORMATIQUE mais par le Client, Responsable de Traitement.
Le Client est la seule Partie en capacité de déterminer et de documenter lesdites catégories de personnes concernées.
4.1.1.1.4 Durée de conservation des DCP dans le cadre du contrat de sous-traitance
De la même façon, la durée de conservation des DCP potentiellement contenues dans les documents déposés dans Zeendoc et/ou indexées par Zeendoc n’est pas du ressort de SAGES INFORMATIQUE mais de celui du Client, Responsable de Traitement.
Le Client est la seule Partie en capacité de déterminer et de documenter ladite durée de conservation.
4.1.1.1.5 Obligations de SAGES INFORMATIQUE, le Sous-Traitant, vis-à-vis du Client, le Responsable de Traitement
Le Sous-Traitant s’engage à :
- Finalité
Traiter les données à caractère personnel éventuellement contenues dans les documents déposés par le Client dans Zeendoc uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance (Finalité du Service, voir ci-dessus).
- Conformité
Traiter les données conformément aux dispositions des présentes conditions générales et/ ou de tout contrat liant les Parties, ou, le cas échéant, aux instructions documentées du Responsable de Traitement acceptées par les deux Parties. Si le Sous-Traitant considère qu’une instruction à lui donnée par le Responsable de Traitement constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe le Responsable de Traitement de façon diligente et spontanée. En outre, si le Sous-Traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable du Traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public
- Confidentialité
Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat et en particulier veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
- Privacy by Design
Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
- Fournisseurs
Le Sous-Traitant est autorisé à faire appel à tout fournisseur permettant de rendre opérationnels le Service (ci-après, les « Fournisseurs »), notamment pour mener les activités de traitement suivantes : Hébergement de serveurs, opérateurs de centre de données, fournisseurs de solution d’informatique en nuage (Cloud Computing), fournisseurs de solution de sauvegardes, accès à un réseau de données Internet ou similaire, service de personnalisation de document etc.
Tout Fournisseur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du Responsable de Traitement. Il appartient au Sous-Traitant initial de s’assurer que le Fournisseur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le Fournisseur ne remplit pas ses obligations en matière de protection des données, le Sous-Traitant demeure responsable devant le Responsable de Traitement de l’exécution par le Fournisseur de ses obligations.
- Droit d’information des personnes concernées
Il appartient au Responsable de Traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
Le Sous-Traitant pourra mettre à disposition du Client des mentions et dispositions type afin de l’aider à véhiculer l’information aux personnes concernées que les données à caractère personnel les concernant peuvent faire l’objet d’un traitement par le Sous-Traitant.
- Exercice des droits des personnes
Dans la mesure du possible, le Sous-Traitant doit aider le Responsable de Traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Le Responsable de Traitement a l’entier contrôle des données à caractère personnel en relation avec les personnes concernées et le Sous-Traitant fait ses meilleurs efforts afin de mettre en œuvre les mesures techniques et organisationnelles permettant au Responsable de Traitement de s’acquitter de ses obligations de donner suite aux demandes d’exercice des droits des personnes concernées.
- Notification des violations de données à caractère personnel
Le Sous-Traitant notifie au Responsable de Traitement toute violation de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance et par tout moyen approprié, notamment un des moyens suivants : courriel, appel téléphonique, courrier écrit, fax, SMS etc. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente ainsi qu’aux personnes concernées.
La notification contient, dans la mesure du possible :
- La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
- Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- La description des conséquences probables de la violation de données à caractère personnel ;
- La description des mesures prises ou que le Sous-Traitant propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
- Aide du Sous-Traitant dans le cadre du respect par le Responsable de Traitement de ses obligations
Le Sous-Traitant aide et conseille le Responsable de Traitement pour la réalisation d’analyses d’impact relative à la protection des données. Le Sous-Traitant peut aussi aider et conseiller le Responsable de Traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
- Mesures de sécurité
En ce qui concerne les documents déposés dans Zeendoc, le Sous-Traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :
- Le chiffrement des documents ;
- Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
- Les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
- Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement
- Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, le Sous-Traitant s’engage à :
Au choix du Responsable du Traitement :
- Détruire toutes les données du Client, dont les données à caractère personnel ou
- À renvoyer toutes les données, dont les données à caractère personnel au Responsable de Traitement ou
- À renvoyer les données à caractère personnel au Sous-Traitant désigné par le Responsable de Traitement
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du Sous-Traitant. Une fois détruites, le Sous-Traitant doit justifier par écrit de la destruction.
- Délégué à la protection des données
Le Sous-Traitant communique au Responsable de Traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données, ou de toute autre personne d’un service assumant des fonctions similaires pour le compte du Sous-Traitant. Cette personne ou ce service sera joignable par courriel à dpo@zeendoc.com.
- Registre des catégories d’activités de traitement
Le Sous-Traitant déclare avoir la capacité de produire un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de Traitement comprenant :
- Le nom et les coordonnées du Responsable de Traitement pour le compte duquel il agit, des éventuels Sous-Traitants ou fournisseurs et, le cas échéant, du délégué à la protection des données ;
- Les catégories de traitements effectués pour le compte du Responsable de Traitement ;
- Les destinataires des données à caractère personnel, y compris prestataires, fournisseurs et Sous-Traitants ultérieurs ;
- Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées ;
- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
- Le chiffrement des documents déposés dans Zeendoc ;
- des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
- des moyens permettant de rétablir la disponibilité des données, dont données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
- une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
- Documentation et information
Le Sous-Traitant met à la disposition du Responsable de Traitement les informations ou la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
4.1.1.1.6 Obligations du Responsable de Traitement vis-à-vis du Sous-Traitant
4.1.1.1.6.1 Information des personnes concernées
Le Responsable de Traitement s’engage à informer les personnes concernées du fait que les données personnelles les concernant qui sont contenues dans des documents peuvent faire l’objet d’un stockage dans une solution de Gestion Electronique de Documents Zeendoc et que des traitements de type indexation et lecture optiques puis stockage de ces données peuvent être effectués au sein de la solution de Gestion Electronique de Documents Zeendoc.
4.1.1.1.6.2 Licéité
Le Responsable de Traitement s’engage, lorsqu’il dépose un document dans Zeendoc qui contient des données à caractère personnel, à le faire uniquement de façon licite, c’est-à-dire lorsque :
- le document est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci (vente, prestation, commande, devis…)
- la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, et ce consentement a été recueilli dans les termes et selon les obligations du RGPD, en particulier après avoir reçu une information claire sur les finalités et de façon positive (pas de case de consentement pré-cochée par exemple)
- le traitement ou le document est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, notamment établissement et conservation de factures ou de bulletins de salaire ;
- le traitement ou le document est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
- le traitement ou le document est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le Responsable du Traitement ;
- le traitement ou le document est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
4.1.1.1.6.3 Données Sensibles
Lorsque les documents qu’il dépose dans Zeendoc contiennent potentiellement des données sensibles au sens du RGPD, le Responsable de Traitement s’engage à le faire de façon licite, c’est-à-dire dans un des cas prévus par le RGPD et qui sont rappelés ci-dessous. Dans ce cas, le Responsable de Traitement s’engage ou bien à déposer ces documents dans un coffre-fort numérique proposé optionnellement au sein de Zeendoc ou bien à effectuer s’il le juge nécessaire, une éventuelle analyse d’impact et à prendre en charge les éventuelles mesures correctives qui devront être mise en place à la suite de ladite analyse d’impact.
Plus généralement, le Responsable du Traitement s’engage à assumer l’entière responsabilité relative au fait de déposer dans Zeendoc des documents contenant des données sensibles au sens du RGPD.
Le RGPD considère comme des données sensibles les données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Les numéros d’identification nationaux (numéros NIR ou INSEE en France) sont aussi considérés comme des données sensibles, ainsi que les données relatives aux condamnations pénales et aux infractions.
Le traitement de telles données n’est possible que dans les cas suivants :
- La personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que ce consentement ne peut pas être donné par la personne concernée ;
- Le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ;
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
- Le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ;
- Le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;
- Le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;
- Le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ;
- Le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées ci-dessous ;
- Le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel;
- Le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.
Qui plus est, les données sensibles peuvent faire l’objet d’un traitement aux fins prévues au point 8 ci-dessus, si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents.
Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.
4.1.1.1.6.4 Respects des obligations du RGPD
Le Responsable de Traitement s’engage à respecter les obligations du RGPD et à veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du Sous-Traitant.
En particulier, le Responsable de Traitement s’engage, s’il y est obligé ou si cela est fortement recommandé, à tenir un registre des traitements mentionnant notamment, en ce qui concerne les traitements qu’il effectue ou qui sont effectués pour son compte sur des données à caractère personnel : les finalités des traitements, les catégories de données à caractère personnel, les catégories de personne concernée et la durée de conservation des données à caractère personnel.
4.1.1.1.6.5 Supervision
Le Responsable de Traitement s’engage à superviser le traitement, y compris, si cela s’avère approprié, réaliser des audits et des inspections auprès du Sous-Traitant. Dans le cas ou de tels audits et inspections seraient réalisés, le Responsable de Traitement s’engage à mettre à disposition du Sous-Traitant les résultats desdits audits et inspection et à permettre au Sous-Traitant de les transmettre à ses clients et prospects ou de les rendre publics.
4.1.1.1.6.6 Instructions données au Sous-Traitant
Le Responsable de Traitement s’engage à documenter par écrit toute instruction concernant le traitement des données par le Sous-Traitant.
4.1.1.1.7 Obligations communes
Le Sous-traitant et le Responsable de traitement s’engagent individuellement et mutuellement à se conformer au texte du RGPD disponible sur le site de la commission européenne, et à toute réglementation nationale applicable qui porterait sur les traitements de données à caractère personnel. Ces réglementations feront foi dans le présent Contrat et complèteront ou prévaudront le cas échéant sur toutes les dispositions du présent Contrat.
4.2 DONNÉES TRAITÉES POUR LA MISE EN ŒUVRE DU SERVICE ZEENDOC
Aux fins d’utiliser le service Zeendoc, le client qui a souscrit un abonnement crée des accès au service. Les données traitées pour créer et gérer ces accès comprennent un identifiant et un mot de passe. L’identifiant est une adresse de courriel, car cela est nécessaire à l’utilisation du service qui requiert l’envoi de notifications ou de liens, notamment d’activation, par courriel.
Des données de connexion sont aussi collectée et traitées, notamment l’adresse IP utilisée pour la connexion : cela est nécessaire pour pouvoir vous assister et pour satisfaire à nos contraintes légales, notamment en ce qui concerne la traçabilité des accès et des usages.
Lorsque vous utilisez la fonction de partage de document par email, Zeendoc collecte l’adresse email du destinataire avec lequel le document est partagé. Cela est requis pour pouvoir lui envoyer le lien de partage
Toutes les actions que vous faites sur les documents sont journalisées : dépôt, mise en place d’index, indexation automatique, partage (y compris l’adresse du destinataire), etc. Cela est requis pour la bonne marche du service, dont une des fonctionnalités est de permettre de tracer et de retrouver les actions effectuées sur les documents, notamment les signatures ou tampons virtuels.
Les informations recueillies à Votre sujet, notamment à partir des formulaires et des documents permettant de créer Votre accès au service sont nécessaires pour rendre le service fourni par Zeendoc. Ces informations font l’objet d’un traitement informatique destiné à SAGES INFORMATIQUE pour assurer le bon fonctionnement du service Zeendoc et ont fait l’objet de déclarations à la CNIL sous les n°1975333, 2172369 et 2186552. SAGES INFORMATIQUE est le destinataire des données collectées. Elles sont stockées sur des serveurs situés en France. SAGES INFORMATIQUE s’interdit de communiquer les données que Vous lui communiquez, notamment via les formulaires, à quelques tiers que ce soit, sauf à ses sous-traitants, aux personnes qui, en raison de leur fonction, sont chargées de traiter Vos données et en cas de demande des autorités légalement habilitées. Conformément à la règlementation en vigueur, Vous disposez de droits concernant vos données.
4.3 DURÉES DE CONSERVATION DES DONNÉES
Les données relatives à votre accès à Zeendoc sont conservées pendant toute la durée de l’abonnement qui vous permet d’accéder à Zeendoc augmentée de 3 ans.
Les journaux d’accès à Zeendoc sont conservés pendant un an.
4.4 LOCALISATION DES TRAITEMENTS ET TRANSFERTS DE DONNÉES
Les traitements que Zeendoc est susceptible d’effectuer sur les données à caractère personnel sont effectués dans des centres de données hébergées en France (Iguane Solutions, Vitry sur Seine, 94 et OVH, Roubaix, 59 et AZNetwork, 40 Rue André Ampère, 61000 Alençon pour les données de santé) ou en Suisse (AGENTIL, Rue du Pré-de-la Fontaine 19, 1242 Satigny, CH), dans ses locaux (Ajaccio, France), et chez ses prestataires, opérant depuis la France. Les traitements directement sous le contrôle de Zeendoc sont donc tous effectués en France ou en Suisse.
Si un prestataire, fournisseur ou sous-traitant de Zeendoc effectue des traitements dans un pays qui n’est pas dans l’Union Européenne ni dans un pays de la liste des pays reconnus comme adéquats tout en ayant donné les garanties nécessaires (par exemple en ayant mis en place des Règles d’Entreprises Contraignantes (BCR), etc.), les relations contractuelles entre Zeendoc et ce tiers imposent la mise en place de garanties appropriées permettant de garantir que les traitements effectués sur des données à caractère personnel sont effectués dans le respect des termes et de l’esprit de la réglementation en vigueur. Ces relations contractuelles peuvent alors prendre la forme d’un accord sur la protection des données (DPA, Data Protection Agreement) qui reprend lui-même les clauses contractuelles types (SCC, standard contractual clauses) approuvées par la commission européenne en tant que mécanisme de protection adéquat.
4.5 DESTINATAIRES DES DONNÉES TRAITÉES POUR LA MISE EN ŒUVRE DU SERVICE
Zeendoc peut éventuellement divulguer les données personnelles que vous avez renseignées ou qui ont été renseignées par le souscripteur de l’abonnement au service, à ses employés, prestataires ou organismes affiliés qui
- ont besoin d’avoir connaissance de ces informations afin de les traiter au nom de Zeendoc ou de fournir des services disponibles sur les sites web de Zeendoc, et
- qui ont convenu de ne pas les divulguer à des tiers.
Zeendoc ne louera ni ne vendra ni ne transférera d’aucune façon à des tiers vos données personnelles (notamment votre adresse email de connexion). En dehors de ses employés, prestataires, distributeurs et organismes affiliés, comme indiqué ci-dessus, Zeendoc ne divulgue des données personnelles que dans le cas d’une assignation à comparaitre, d’une ordonnance du tribunal ou de tout autre ordre gouvernemental, ou lorsque Zeendoc estime que cette divulgation est nécessaire pour protéger les biens ou les droits de Zeendoc, d’un tiers ou du public.
Si vous êtes un utilisateur enregistré sur un site Zeendoc et que vous avez fourni votre adresse e-mail, Zeendoc peut occasionnellement vous envoyer un e-mail pour vous annoncer de nouvelles fonctionnalités, vous demander votre avis, ou tout simplement vous tenir informé des nouveautés de Zeendoc et de ses produits. Zeendoc prend toutes les mesures raisonnables et nécessaires pour protéger vos données contre les accès non autorisés, l’utilisation, la modification ou la destruction de données personnelles (ou potentiellement personnelles).
4.6 TRANSFERT À DES TIERS DES DONNÉES CONTENUES DANS VOS DOCUMENTS
Les données que vous renseignez ou qui sont contenues dans les documents que vous déposez dans Zeendoc ne sont pas transmises à des tiers du fait de Zeendoc sauf avec votre consentement exprès. De fait, pour que de telles données soient transmises à des tiers, il faut que vous l’ayez décidé et qu’un tel transfert ait été mis en place par vous-même et les équipes de Zeendoc ou de ses partenaires. Cela peut notamment consister en des transferts vers des services de comptabilité, vers des organismes bancaires, vers des opérateurs de téléimpression ou de télépostage, vers un coffre-fort électronique, vers des prestataires de certification de documents, etc. Ces transferts sont optionnels et toujours explicites et c’est vous qui en décidez. Quand de tels transferts existent, vos registres de traitement et vos mentions d’information aux personnes concernées doivent les mentionner. Les tiers qui pourraient vous être présentés par Zeendoc dans le cadre de ses offres optionnelles et de ses prestations additionnelles seront sélectionnés notamment en fonction des garanties qu’ils offrent en matière de protection des données à caractère personnel.
4.7 PROSPECTION COMMERCIALE
Si vous êtes un utilisateur final enregistré sur un site Zeendoc et que vous avez fourni votre adresse e-mail ou qu’elle a été fournie par le souscripteur de l’abonnement, Zeendoc peut occasionnellement vous envoyer un e-mail pour vous annoncer de nouvelles fonctionnalités, vous demander votre avis ou tout simplement vous tenir informé des nouveautés de Zeendoc et ses produits.
Nous pouvons aussi être amenés à vous envoyer des courriels de prospection, notamment sur votre adresse professionnelle, si vous avez fourni vos coordonnées à un partenaire commercial de Zeendoc et si vous avez expressément consenti à recevoir des communications de ses propres partenaires.
Vous avez toujours la possibilité de vous opposer à toute prospection de ce type, en nous adressant un courriel à l’adresse dpo@zeendoc.com.
5 VOS DROITS RELATIVEMENT AUX TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL VOUS CONCERNANT
5.1 LE DROIT À L’INFORMATION
Lorsque des données à caractère personnel qui Vous concernent sont collectées directement auprès de Vous-même, SAGES INFORMATIQUE vous fournit, au moment où les données en question sont obtenues ou avant leur obtention, toute une série d’informations. Ces informations sont notamment contenues dans la présente politique, et notamment :
- Les finalités du traitement qui sont de vous fournir un service de Gestion Informatisée de Documents en mode SaaS
- Les catégories de Données Personnelles concernées qui sont : l’adresse email utilisée pour vous connecter au Service, et des données relatives à votre connexion (adresse IP de votre terminal, détails techniques de votre navigateur, en particulier à des fins d’adaptation des interfaces visuelles)
- Les périodes de conservation de Vos Données Personnelles selon les mentions ci-dessus
- L’existence de Vos droits.
5.2 LE DROIT D’ACCÈS
Vous avez le droit d’obtenir de SAGES INFORMATIQUE la confirmation que Vos données personnelles sont ou ne sont pas traitées et, lorsqu’elles le sont, Vous avez le droit d’obtenir l’accès auxdites données ainsi qu’à un certain nombre d’informations complémentaires. Ce droit comprend également celui d’obtenir une copie des données qui font l’objet d’un traitement.
5.3 LE DROIT DE RECTIFICATION
Vous avez le droit de demander que Vos données soient rectifiées ou complétées, et ce dans les meilleurs délais.
5.4 LE DROIT D’EFFACEMENT OU « DROIT À L’OUBLI »
Vous avez le droit de demander l’effacement de Vos données, dans les meilleurs délais. Vous êtes informé qu’en cas d’exercice de ce droit, Vous ne pourrez plus vous connecter au Service et, subséquemment, que Vous ne pourrez plus l’utiliser.
5.5 LE DROIT À LA LIMITATION DU TRAITEMENT
Vous avez le droit, dans certains cas prévus par la loi, d’obtenir de SAGES INFORMATIQUE la limitation de Vos données. Lorsqu’une telle limitation est demandée, SAGES INFORMATIQUE ne pourra plus que stocker les données. Aucune autre opération ne pourra, en principe, avoir lieu sur Vos données personnelles. Vous ne pourrez donc plus utiliser le Service si Vous demandez l’exercice de ce droit.
5.6 LE DROIT À LA PORTABILITÉ DES DONNÉES
Vous avez le droit de récupérer les données que Vous avez fournies au responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine, et Vous avez le droit de transmettre ces données à un autre responsable du traitement, par exemple pour pouvoir changer de fournisseur de service.
5.7 LE DROIT D’INTRODUIRE UNE RÉCLAMATION AUPRÈS D’UNE AUTORITÉ DE CONTRÔLE
Vous pouvez exercer ces droits en adressant un courriel à : dpo@zeendoc.com ou en contactant SAGES INFORMATIQUE par courrier postal à SAGES INFORMATIQUE, LIEU DIT DE CACCIARICCIA, ROUTE DE MEZZAVIA, RN194, 20167 AFA – France
Vous pouvez introduire une réclamation auprès de la CNIL en France, si Vous jugez que Vos droits n’ont pas été respectés ou qu’un traitement effectué dans le cadre du Service est susceptible de Vous porter préjudice.
5.8 LE DROIT À LA COMMUNICATION D’UNE VIOLATION DE DONNÉES À CARACTÈRE PERSONNEL
Le responsable de traitement est obligé Vous notifier les violations de données susceptibles de Vous exposer à un risque élevé à ses droits et libertés.
Ces droits peuvent être exercés en adressant un courriel à l’adresse dpo@zeendoc.com ou en nous contactant aux coordonnées disponibles sur notre site web www.zeendoc.com.
6 SÉCURITÉ DES DONNÉES
Zeendoc prend toutes les mesures raisonnables et nécessaires pour protéger les données traitées contre les accès non autorisés, l’utilisation, la modification ou la destruction de données personnelles (ou potentiellement personnelles).
Par ailleurs, nous vous informons que des informations relatives à la sécurité, à la protection et à la confidentialité des données, notamment contenues dans les documents que vous versez dans Zeendoc, sont disponibles sur nos sites web et au sein des ressources mises à disposition des utilisateurs de Zeendoc
7 SOUS-TRAITANCE
Zeendoc fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la réglementation européenne et garantisse la protection des droits de la personne concernée.
8 CESSION D’ACTIFS
Si Zeendoc, ou la quasi-totalité de ses actifs, est vendu, ou dans le cas peu probable d’une cessation d’activité ou d’une faillite de Zeendoc, les informations des utilisateurs feraient partie des actifs transférés à un tiers ou acquis par celui-ci. Vous reconnaissez que ces transferts peuvent avoir lieu et que tout acquéreur de Zeendoc peut continuer à utiliser vos renseignements personnels conformément à la présente politique.
9 TRACEURS ET COOKIES
Notre politique et les informations concernant notre usage des traceurs et des cookies est disponible dans le document « Traceurs et Cookies ».
10 PUBLICITÉ
Nous ne diffusons pas de publicité sur nos sites !
Néanmoins, certaines technologies que nous utilisons pour vous permettre de partager facilement du contenu de notre site www.la-facture-electronique.fr sur les réseaux sociaux, peuvent permettre aussi de tracer une partie de votre historique de navigation et de partage de façon à construire une liste de centres d’intérêt qui peuvent ensuite être utilisés pour vous proposer des publicités et des contenus personnalisés.
Pour plus d’information et savoir comment désactiver ces fonctions, se référer au document « Traceurs et Cookies ».
11 MODIFICATIONS DE LA PRÉSENTE POLITIQUE
Bien que la plupart des changements soient susceptibles d’être mineurs, Zeendoc peut être amené à modifier la présente politique, et ce, à sa seule discrétion. Zeendoc encourage les visiteurs de son site à vérifier fréquemment cette page afin d’y lire les éventuels changements concernant sa politique d’utilisation des données. L’utilisation d’un de nos sites après d’éventuels changements de politique d’utilisation des données constitue votre acceptation de ces changements.