POLITIQUE DE CONFIDENTIALITÉ

SYARTEC

IZIFLO – Plateforme de gestion pour réseaux de distribution automobile

1. Préambule et objet de la politique

La présente politique de confidentialité (ci-après la « Politique ») a pour objet de décrire les conditions dans lesquelles la Société SYARTEC, société par actions simplifiée au capital de 163.435,00€, immatriculée au RCS d’Aix-en-Provence au numéro 752 021 139, dont le siège social est sis 25, Rue Paul Langevin à Aix-en- Provence (13290), collecte, utilise, conserve, transfère et protège les données à caractère personnel des personnes concernées dans le cadre de ses activités.

La Société est spécialisée dans l’ingénierie logicielle et le développement de solutions de gestion destinées aux réseaux de distribution automobile. Elle édite la suite logicielle IZIFLO, une plateforme 100 % web intégrant la gestion de la relation client (CRM), de l’activité commerciale, de l’après-vente et de la logistique des véhicules, depuis la prospection jusqu’à la livraison au client final. Cette solution est déployée sur plusieurs centaines de points de vente et de nombreuses marques, permettant aux groupes de distribution multimarques de centraliser leurs données, d’optimiser leurs processus et de piloter leur performance en temps réel.

Cette Politique est établie en conformité avec le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD »), la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée (ci-après la « Loi Informatique et Libertés »), ainsi que toute réglementation nationale ou européenne applicable en matière de protection des données personnelles, y compris les lignes directrices et recommandations de la Commission nationale de l’informatique et des libertés (CNIL) et du Comité européen de la protection des données (CEPD).

Elle s’adresse à l’ensemble des personnes dont les données personnelles sont traitées par la Société, qu’il s’agisse de ses clients (concessionnaires, distributeurs, groupes automobiles), des utilisateurs de ses services, des prospects, des fournisseurs et partenaires commerciaux, des visiteurs de ses sites internet, des candidats à l’embauche ou de ses collaborateurs.

2. Identité et coordonnées du responsable de traitement

Le responsable du traitement des données à caractère personnel est la Société SYARTEC, joignable à l’adresse suivante : 25, Rue Paul Langevin 13290 Aix-en- Provence et par email à l’adresse info@syartec.com.

Il est précisé que, dans le cadre de la fourniture de ses services à ses clients (concessionnaires, groupes de distribution…), la Société agit selon les cas en qualité de responsable de traitement pour les données qu’elle collecte et traite pour son propre compte (gestion de la relation commerciale, prospection, facturation), et en qualité de sous-traitant au sens de l’article 28 du RGPD pour les données que ses clients lui confient via ses services et qui sont traitées pour le compte et selon les instructions de ces derniers. Dans ce second cas, les relations entre la Société et ses clients sont encadrées par un accord de traitement des données (Data Processing Agreement) distinct.

3. Délégué à la protection des données

La Société a désigné un Délégué à la protection des données (DPO). Toute personne concernée peut contacter le DPO pour toute question relative au traitement de ses données personnelles ou à l’exercice de ses droits, à l’adresse de la société ou par email à l’adresse dpo@syartec.com.

4. Catégories de personnes concernées

Les traitements de données personnelles mis en œuvre par la Société sont susceptibles de concerner les catégories de personnes suivantes : les clients et utilisateurs de ses services (collaborateurs des concessionnaires, responsables commerciaux, techniciens après-vente, gestionnaires logistiques), les clients finaux des réseaux de distribution automobile dont les données transitent par la plateforme, les prospects et contacts commerciaux, les visiteurs du ou des sites internet de la Société, les fournisseurs, sous-traitants et partenaires commerciaux ainsi que leurs représentants et interlocuteurs, les candidats à un emploi ou à un stage au sein de la Société, et les collaborateurs (salariés, stagiaires, prestataires internes) de la Société.

5. Catégories de données collectées

La Société collecte et traite, selon les finalités poursuivies et les catégories de personnes concernées, les catégories de données suivantes.

5.1. Données d’identification et de contact

Il s’agit notamment des nom, prénom, civilité, adresse postale professionnelle et/ou personnelle, adresse de courrier électronique, numéro de téléphone fixe et/ou mobile, fonction et service au sein de l’entreprise cliente, identifiants de connexion à ses services (login, mot de passe chiffré).

5.2. Données relatives à la vie professionnelle

Ces données comprennent l’employeur, le poste occupé, le niveau hiérarchique, les habilitations et droits d’accès sur ses services, l’historique des formations suivies sur la plateforme, ainsi que les données de performance commerciale rattachées aux utilisateurs (volume de ventes, indicateurs d’activité).

5.3. Données de connexion et données techniques

La Société collecte les adresses IP, les journaux de connexion et d’activité sur ses services (logs), le type et la version du navigateur, le système d’exploitation, la résolution d’écran, les pages visitées, la date et l’heure de connexion, la durée de session, ainsi que les données collectées par les cookies et technologies similaires dans les conditions décrites à la section dédiée ci-après.

5.4. Données commerciales et transactionnelles

Ces données recouvrent l’ensemble des informations saisies ou générées dans le cadre de l’utilisation de ses services, notamment les données relatives aux véhicules (immatriculation, numéro de châssis VIN, modèle, équipements, historique d’entretien), aux transactions commerciales (devis, bons de commande, factures), à la gestion de l’après-vente (ordres de réparation, rendez-vous atelier) et à la logistique (suivi des livraisons, état des stocks).

5.5. Données relatives aux prospects et visiteurs du site internet

Il s’agit des données communiquées volontairement via les formulaires de contact, de demande de démonstration ou d’inscription à des événements et newsletters, ainsi que des données de navigation sur le site internet de la Société.

5.6. Données relatives aux candidats

Les données traitées dans le cadre du processus de recrutement comprennent le curriculum vitae, la lettre de motivation, les diplômes et certifications, les références professionnelles communiquées par le candidat, les informations recueillies lors des entretiens, ainsi que toute pièce justificative transmise volontairement par le candidat.

5.7. Données relatives aux collaborateurs

Dans le cadre de la gestion des ressources humaines, la Société traite les données d’état civil, les coordonnées personnelles et professionnelles, les données relatives à la situation familiale dans la stricte mesure nécessaire à la gestion de la paie et des avantages sociaux, les données bancaires pour le versement de la rémunération, les données relatives au parcours professionnel (formation, évaluation), les données de connexion aux outils informatiques de la Société, et le numéro de sécurité sociale dans les cas prévus par la loi.

5.8. Absence de collecte de données sensibles

La Société ne collecte pas, en principe, de données dites « sensibles » au sens de l’article 9 du RGPD (données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques, les données de santé ou les données relatives à la vie sexuelle ou à l’orientation sexuelle). Dans l’éventualité où un tel traitement serait nécessaire, il ne serait mis en œuvre que sur le fondement de l’une des exceptions expressément prévues à l’article 9, paragraphe 2, du RGPD, et si nécessaire après réalisation d’une analyse d’impact relative à la protection des données (AIPD).

6. Finalités des traitements et bases légales

Chaque traitement de données personnelles mis en œuvre par la Société repose sur l’une des bases légales prévues à l’article 6 du RGPD. Les paragraphes ci-après présentent les principales finalités poursuivies, la base légale correspondante et, lorsque le traitement est fondé sur l’intérêt légitime de la Société, la démonstration de la mise en balance des intérêts.

6.1. Gestion de la relation commerciale et exécution des contrats

Base légale : Exécution contractuelle – article 6, paragraphe 1, point b) du RGPD.

Le traitement des données nécessaires à la gestion de la relation commerciale avec les clients de la Société, incluant la création et la gestion des comptes clients, la négociation et l’exécution des contrats de licence et de services, la facturation et le recouvrement, ainsi que la gestion du support technique et fonctionnel, repose sur l’exécution du contrat conclu entre la Société et le client concerné, ou sur les mesures précontractuelles prises à la demande de ce dernier.

6.2. Fourniture et exploitation de ses services

Base légale : Exécution contractuelle – article 6, paragraphe 1, point b) du RGPD, et intérêt légitime – article 6, paragraphe 1, point f) du RGPD pour les aspects liés à la qualité et à la sécurité du service.

Le traitement des données nécessaires à la mise à disposition, au fonctionnement, à la maintenance et à l’amélioration de ses services, incluant la gestion des comptes utilisateurs, l’attribution des habilitations et des droits d’accès, le suivi des performances applicatives, la détection et la correction des anomalies, repose sur l’exécution du contrat liant la Société à ses clients. Pour les aspects excédant la stricte exécution contractuelle, ce traitement repose sur l’intérêt légitime de la Société.

Intérêt poursuivi : La Société poursuit l’intérêt de garantir la fiabilité, la disponibilité et la sécurité de ses services pour l’ensemble de ses clients et de leurs utilisateurs, condition essentielle de la continuité de son activité d’éditeur de solutions de gestion.

Légitimité de cet intérêt : Cet intérêt est fondé sur la nécessité de maintenir un niveau de service conforme aux standards du marché du logiciel SaaS, de prévenir les défaillances techniques susceptibles d’affecter l’activité de centaines de points de vente, et de répondre aux exigences contractuelles de qualité de service (SLA).

Nécessité du traitement : Le suivi des performances applicatives, la détection des anomalies et la traçabilité des actions sont indispensables pour identifier et corriger les dysfonctionnements en temps réel, garantir la continuité de service et maintenir un niveau de performance conforme aux engagements contractuels de la Société.

Mise en balance : Les données traitées sont limitées aux données techniques et d’usage strictement nécessaires (journaux de connexion, métriques de performance, rapports d’erreur). Les utilisateurs sont informés de ce traitement et peuvent exercer leur droit d’opposition. L’atteinte à la vie privée est minimale au regard du bénéfice direct pour les utilisateurs qui tirent avantage d’un service fiable et sécurisé.

6.3. Prospection commerciale

6.3.1. Prospection des clients existants

Base légale : Intérêt légitime – article 6, paragraphe 1, point f) du RGPD, combiné avec les dispositions de l’article L. 34-5 du Code des postes et des communications électroniques.

Le traitement des données à des fins de prospection commerciale par voie électronique (envoi de newsletters, d’invitations à des événements, de communications sur les évolutions de ses services) auprès de clients existants sollicités pour des produits ou services analogues repose sur l’intérêt légitime de la Société.

Intérêt poursuivi : La Société poursuit l’intérêt de développer sa relation commerciale avec ses clients en les informant des évolutions fonctionnelles de ses services, des nouvelles solutions disponibles et des événements professionnels organisés dans le secteur de la distribution automobile.

Légitimité de cet intérêt : La prospection commerciale auprès de clients existants pour des produits ou services analogues est expressément reconnue comme légitime par le législateur français et par les lignes directrices de la CNIL en matière de prospection. Le développement commercial est une composante essentielle de la pérennité de l’activité de la Société.

Nécessité du traitement : L’identification des interlocuteurs décisionnaires au sein des groupes de distribution clients, la personnalisation des communications en fonction des solutions déjà déployées et le suivi de l’engagement (ouvertures, clics) sont indispensables pour cibler des communications pertinentes et éviter la sur-sollicitation.

Mise en balance : Les personnes concernées sont des professionnels du secteur automobile sollicités dans le cadre de leur activité professionnelle, ce qui réduit l’atteinte à la vie privée. Un mécanisme de désinscription simple et effectif (opt-out en un clic) est intégré à chaque communication. La fréquence des sollicitations est maîtrisée. Le droit d’opposition peut être exercé à tout moment et sans motif conformément à l’article 21, paragraphe 2, du RGPD.

6.3.2. Prospection des prospects

Base légale : Consentement – article 6, paragraphe 1, point a) du RGPD.

S’agissant de prospects n’ayant pas de relation commerciale préexistante avec la Société, la prospection commerciale par voie électronique repose sur le consentement préalable, libre, spécifique, éclairé et univoque de la personne concernée, recueilli au moyen d’un formulaire dédié (opt-in). Le consentement peut être retiré à tout moment.

6.4. Amélioration des services et statistiques

Base légale : Intérêt légitime – article 6, paragraphe 1, point f) du RGPD.

Le traitement des données à des fins d’analyse statistique de l’utilisation de ses services, de mesure de la satisfaction client, de développement de nouvelles fonctionnalités et d’amélioration de l’expérience utilisateur repose sur l’intérêt légitime de la Société.

Intérêt poursuivi : La Société poursuit l’intérêt de comprendre l’utilisation effective de ses services afin d’orienter sa stratégie de développement produit, d’améliorer continuellement l’expérience utilisateur et de maintenir sa position innovante sur le marché des solutions de gestion pour la distribution automobile.

Légitimité de cet intérêt : L’amélioration continue des services constitue un intérêt commercial légitime reconnu, qui bénéficie directement aux utilisateurs par le développement de fonctionnalités répondant à leurs besoins réels. L’innovation guidée par les usages est indispensable dans le secteur du logiciel SaaS.

Nécessité du traitement : L’analyse des parcours utilisateurs, l’identification des points de friction, la mesure de la performance des fonctionnalités et la segmentation des usages par profil métier (commercial, après-vente, logistique) sont indispensables pour prioriser les développements selon leur impact réel et mesurer l’évolution de la satisfaction.

Mise en balance : Les données utilisées à cette fin sont, dans la mesure du possible, pseudonymisées ou agrégées. Les analyses portent sur des données d’usage et de navigation, non sur des données à caractère sensible. Le bénéfice est mutuel : l’amélioration du service profite directement aux utilisateurs. Le droit d’opposition demeure ouvert dans les conditions prévues à l’article 21 du RGPD.

6.5. Sécurité des systèmes d’information

Base légale : Intérêt légitime – article 6, paragraphe 1, point f) du RGPD, et obligation légale – article 6, paragraphe 1, point c) du RGPD.

Le traitement des données nécessaires à la sécurité des systèmes d’information de la Société, incluant la surveillance des accès, la détection des intrusions et des comportements anormaux, la gestion des incidents de sécurité et la traçabilité des actions réalisées sur ses services, repose conjointement sur l’intérêt légitime de la Société et sur ses obligations légales en matière de sécurité informatique, notamment au titre de la directive NIS2 transposée en droit français.

Intérêt poursuivi : La Société poursuit l’intérêt d’assurer la sécurité, la disponibilité et l’intégrité de ses systèmes d’information et des données qui lui sont confiées par ses clients, dans un contexte où ses services centralisent des données critiques pour l’activité de plusieurs centaines de points de vente.

Légitimité de cet intérêt : La sécurité informatique est reconnue comme un intérêt légitime par le considérant 49 du RGPD, qui vise expressément la prévention des accès non autorisés et la diffusion de codes malveillants. Cet intérêt est renforcé par les obligations réglementaires pesant sur la Société en matière de sécurité des réseaux et des systèmes d’information (directive NIS2, règlement DORA le cas échéant pour les clients du secteur financier).

Nécessité du traitement : La surveillance en temps réel des accès, la journalisation des événements de sécurité, la détection des comportements anormaux et la gestion des incidents sont des composantes essentielles de toute politique de sécurité informatique conforme à l’état de l’art. La traçabilité des actions est également nécessaire à l’identification de l’origine d’une éventuelle violation de données.

Mise en balance : Les données traitées sont exclusivement des données techniques (logs d’accès, adresses IP, métriques de sécurité). L’accès à ces données est strictement limité aux équipes de sécurité habilitées. La durée de conservation est limitée au strict nécessaire. Le bénéfice en termes de protection des données et de continuité de service pour l’ensemble des utilisateurs est considérable au regard de l’atteinte minimale à la vie privée.

6.6. Respect des obligations légales et réglementaires

Base légale : Obligation légale – article 6, paragraphe 1, point c) du RGPD.

Certains traitements sont nécessaires au respect d’obligations légales auxquelles la Société est soumise, notamment en matière de comptabilité et de fiscalité, de conservation des données de connexion conformément à la législation applicable, de réponse aux demandes des autorités judiciaires ou administratives, et de respect de la réglementation en matière de sécurité des réseaux et des systèmes d’information (directive NIS2 transposée).

6.7. Gestion des ressources humaines

Base légale : Exécution du contrat de travail – article 6, paragraphe 1, point b) du RGPD, obligation légale – article 6, paragraphe 1, point c) du RGPD, et intérêt légitime – article 6, paragraphe 1, point f) du RGPD selon les finalités.

Le traitement des données des collaborateurs aux fins de gestion administrative du personnel, de la paie, de la formation et des évaluations professionnelles repose, selon les cas, sur l’exécution du contrat de travail ou sur le respect d’obligations légales (déclarations sociales et fiscales). Le traitement des données aux fins de gestion des accès aux outils informatiques et de sécurité des locaux repose sur l’intérêt légitime de la Société.

Intérêt poursuivi (gestion des accès et sécurité) : La Société poursuit l’intérêt de sécuriser l’accès à ses locaux, à ses systèmes d’information et aux données de ses clients, dans un contexte où elle héberge et traite des données commerciales sensibles pour le compte de groupes de distribution automobile.

Légitimité et mise en balance : La sécurisation des accès aux outils informatiques est une mesure de sécurité attendue par l’ensemble des parties prenantes (clients, autorités de contrôle). Les données traitées se limitent aux identifiants professionnels et aux journaux de connexion. Les collaborateurs sont informés de ce traitement par la charte informatique et peuvent exercer leurs droits dans les conditions prévues par la présente Politique.

6.8. Gestion du recrutement

Base légale : Mesures précontractuelles – article 6, paragraphe 1, point b) du RGPD, intérêt légitime – article 6, paragraphe 1, point f) du RGPD, et consentement – article 6, paragraphe 1, point a) du RGPD pour le vivier de candidatures.

Le traitement des données des candidats aux fins de réception, d’évaluation et de gestion des candidatures, d’organisation des entretiens, de vérification des références professionnelles et de communication avec les candidats tout au long du processus de sélection repose sur les mesures précontractuelles prises à la demande du candidat dans le cadre de la future relation potentielle d’emploi.

Intérêt poursuivi (au-delà du strict processus de recrutement) : La Société poursuit l’intérêt d’évaluer l’adéquation des candidatures reçues avec ses besoins en compétences, notamment dans les domaines du développement logiciel, de l’architecture applicative et du support technique spécialisé dans le secteur automobile.

Légitimité et mise en balance : L’évaluation des candidatures est une nécessité inhérente à tout processus de recrutement. Les données traitées sont celles volontairement transmises par le candidat. L’atteinte à la vie privée est limitée aux informations professionnelles. Les candidats sont informés de leurs droits et des durées de conservation appliquées.

La constitution d’un vivier de candidatures au-delà du processus de recrutement initial repose sur le consentement explicite du candidat, recueilli au moment de la candidature ou à l’issue du processus de sélection. Ce consentement peut être retiré à tout moment.

7. Destinataires des données

Les données personnelles collectées par la Société sont susceptibles d’être communiquées, dans la stricte limite du besoin d’en connaître et des finalités décrites ci-dessus, aux catégories de destinataires suivantes : les collaborateurs habilités de la Société dans le cadre de leurs fonctions (services commercial, technique, support, administratif et financier, ressources humaines), les sous-traitants de la Société intervenant dans le cadre de la fourniture et de l’exploitation de ses services (hébergeur, prestataire d’infogérance, prestataire de maintenance, prestataire de sauvegarde et de sécurité informatique), les prestataires tiers fournissant des services nécessaires à l’activité de la Société (expert-comptable, commissaire aux comptes, conseil juridique, outil de gestion de la relation client, outil d’emailing et de marketing automation, outil d’analyse d’audience), les clients de la Société pour les données traitées dans le cadre de ses services relatives à leur propre activité, ainsi que les autorités judiciaires, administratives ou réglementaires lorsque la Société y est tenue par une obligation légale ou dans le cadre de la défense de ses droits en justice.

La Société s’assure contractuellement que chaque sous-traitant et destinataire présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des personnes concernées, conformément à l’article 28 du RGPD. Un contrat de sous-traitance au sens de cet article est conclu avec chaque sous-traitant ayant accès aux données personnelles.

8. Transferts de données hors de l’Union européenne

La Société privilégie le traitement et l’hébergement des données personnelles au sein de l’Espace économique européen (EEE). Toutefois, certains prestataires auxquels la Société fait appel peuvent être établis ou héberger des données en dehors de l’EEE.

Dans cette hypothèse, la Société s’assure que le transfert de données est encadré par l’un des mécanismes prévus au chapitre V du RGPD, à savoir : une décision d’adéquation de la Commission européenne au titre de l’article 45 du RGPD (tel que le EU-U.S. Data Privacy Framework pour les transferts vers les États-Unis, sous réserve de la certification du destinataire), les clauses contractuelles types (CCT) adoptées par la Commission européenne au titre de l’article 46, paragraphe 2, point c) du RGPD, accompagnées le cas échéant de mesures supplémentaires ou des règles d’entreprise contraignantes (Binding Corporate Rules) au titre de l’article 47 du RGPD. À défaut, le transfert ne sera réalisé que sur le fondement de l’une des dérogations prévues à l’article 49 du RGPD.

La liste actualisée des transferts hors EEE, des pays de destination et des garanties mises en œuvre peut être obtenue auprès du DPO.

9. Durées de conservation des données

La Société conserve les données personnelles pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément au principe de limitation de la conservation prévu à l’article 5, paragraphe 1, point e) du RGPD et aux recommandations de la CNIL.

9.1. Données relatives aux clients et utilisateurs de ses services

Les données relatives aux clients et aux utilisateurs de la plateforme sont conservées pendant toute la durée de la relation contractuelle, puis archivées en base intermédiaire pendant la durée de prescription légale applicable (cinq ans à compter de la fin du contrat pour les obligations contractuelles de droit commun, conformément à l’article 2224 du Code civil). Les données comptables et fiscales sont conservées pendant dix ans à compter de la clôture de l’exercice auquel elles se rapportent, conformément à l’article L. 123-22 du Code de commerce.

9.2. Données relatives aux prospects

Les données des prospects sont conservées pendant une durée maximale de trois ans à compter du dernier contact émanant du prospect, conformément aux recommandations de la CNIL. À l’expiration de ce délai, les données sont supprimées ou anonymisées, sauf si le prospect a renouvelé son intérêt.

9.3. Données de connexion et journaux d’activité

Les données de connexion (logs) sont conservées pendant une durée d’un an conformément aux obligations légales applicables (décret n° 2021-1362 du 20 octobre 2021 pour les données techniques, et à l’article 6-II de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique). Les journaux de sécurité relatifs aux incidents de sécurité peuvent être conservés pendant une durée supérieure lorsque cela est justifié par une enquête en cours ou une obligation légale.

9.4. Données relatives aux candidats

Les données des candidats non retenus sont supprimées dans un délai de deux ans à compter du dernier contact avec le candidat, conformément aux recommandations de la CNIL, sauf consentement du candidat à une conservation plus longue dans le cadre d’un vivier de candidatures.

9.5. Données relatives aux collaborateurs

Les données des collaborateurs sont conservées pendant toute la durée du contrat de travail, puis archivées conformément aux durées de prescription applicables (cinq ans pour les actions en matière de droit du travail, dix ans pour les documents de paie, trente ans pour les attestations d’exposition à l’amiante le cas échéant). Le numéro de sécurité sociale est conservé selon les durées imposées par le Code de la sécurité sociale.

9.6. Cookies

Les données collectées par les cookies sont conservées pendant une durée maximale de treize mois à compter du dépôt du cookie sur le terminal de l’utilisateur, conformément aux lignes directrices de la CNIL du 17 septembre 2020 et à la recommandation du 18 juillet 2024 sur les traceurs.

10. Sécurité des données

La Société met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD. Ces mesures comprennent notamment le chiffrement des données en transit (protocole TLS/HTTPS) et au repos, la gestion fine des habilitations et des droits d’accès selon le principe du moindre privilège, la mise en œuvre de politiques de mots de passe robustes et d’une authentification multi-facteurs pour les accès à ses services, la pseudonymisation et l’anonymisation des données lorsque cela est possible, la mise en place de sauvegardes régulières et testées, la sécurisation physique des centres de données (accès restreint, surveillance, systèmes anti-incendie et anti-intrusion), la réalisation régulière de tests d’intrusion et d’audits de sécurité, la mise en place d’un plan de continuité et de reprise d’activité (PCA/PRA), la sensibilisation et la formation des collaborateurs à la protection des données et à la cybersécurité, ainsi que la journalisation et la surveillance des accès et des événements de sécurité.

La Société s’engage à réviser régulièrement ces mesures en fonction de l’évolution des risques et des technologies disponibles.

11. Gestion des violations de données

Conformément aux articles 33 et 34 du RGPD, la Société a mis en place une procédure interne de gestion des violations de données à caractère personnel. En cas de violation susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, la Société notifie la violation à la CNIL dans les meilleurs délais et au plus tard dans les 72 heures après en avoir eu connaissance. Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, la Société communique également la violation à la personne concernée dans les meilleurs délais, sauf si l’une des exceptions prévues à l’article 34, paragraphe 3, du RGPD trouve à s’appliquer.

Par ailleurs, dans le cadre de ses relations contractuelles avec ses clients au titre du contrat de sous-traitance, la Société s’engage à notifier ses clients responsables de traitement de toute violation de données affectant les données traitées pour leur compte, dans les délais et selon les modalités prévues au contrat de sous-traitance.

12. Analyse d’impact relative à la protection des données (AIPD)

Conformément à l’article 35 du RGPD et aux lignes directrices de la CNIL, la Société réalise une analyse d’impact relative à la protection des données (AIPD) préalablement à la mise en œuvre de tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Cette analyse est réalisée avec l’appui du DPO et est revue périodiquement ou à chaque évolution significative du traitement concerné.

La Société estime notamment que le traitement des données à grande échelle réalisé au travers de ses services, qui centralise les données de plusieurs centaines de points de vente et de nombreux clients finaux, est susceptible de justifier la réalisation d’une AIPD.

13. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la Loi Informatique et Libertés, toute personne concernée dispose des droits détaillés ci-après.

13.1. Droit d’accès

Toute personne concernée a le droit d’obtenir de la Société la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données ainsi qu’aux informations prévues à l’article 15 du RGPD. Le cas échéant, une copie des données personnelles est fournie gratuitement.

13.2. Droit de rectification

Toute personne concernée a le droit d’obtenir, dans les meilleurs délais, la rectification des données inexactes la concernant ainsi que le complètement des données incomplètes, conformément à l’article 16 du RGPD.

13.3. Droit à l’effacement

Toute personne concernée a le droit d’obtenir l’effacement de ses données personnelles dans les cas prévus à l’article 17 du RGPD, notamment lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, lorsque la personne retire son consentement ou lorsque le traitement est illicite. Ce droit ne s’applique pas lorsque le traitement est nécessaire au respect d’une obligation légale ou à la constatation, l’exercice ou la défense de droits en justice.

13.4. Droit à la limitation du traitement

Toute personne concernée a le droit d’obtenir la limitation du traitement dans les cas prévus à l’article 18 du RGPD, notamment lorsqu’elle conteste l’exactitude des données ou lorsqu’elle s’oppose au traitement en attendant la vérification du caractère prépondérant des motifs légitimes du responsable de traitement.

13.5. Droit à la portabilité

Toute personne concernée a le droit de recevoir les données personnelles la concernant qu’elle a fournies à la Société dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable de traitement, lorsque le traitement est fondé sur le consentement ou sur l’exécution d’un contrat et qu’il est effectué à l’aide de procédés automatisés, conformément à l’article 20 du RGPD.

13.6. Droit d’opposition

Toute personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement de ses données fondé sur l’intérêt légitime de la Société. La Société cesse alors le traitement, à moins qu’elle ne démontre l’existence de motifs légitimes et impérieux prévalant sur les intérêts et droits de la personne concernée. En matière de prospection commerciale, le droit d’opposition peut être exercé à tout moment et sans motif, conformément à l’article 21, paragraphe 2, du RGPD.

13.7. Droit de retirer son consentement

Lorsqu’un traitement est fondé sur le consentement, la personne concernée a le droit de retirer son consentement à tout moment, sans que ce retrait n’affecte la licéité du traitement fondé sur le consentement effectué avant ledit retrait, conformément à l’article 7, paragraphe 3, du RGPD.

13.8. Droit de définir des directives relatives au sort des données après le décès

Conformément à l’article 85 de la Loi Informatique et Libertés, toute personne concernée peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données personnelles après son décès. Ces directives peuvent être générales ou particulières.

13.9. Droit d’introduire une réclamation

Toute personne concernée a le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL), autorité de contrôle compétente en France, dont les coordonnées sont les suivantes : CNIL, 3 Place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07, site internet : www.cnil.fr.

13.10. Modalités d’exercice des droits

Toute demande d’exercice des droits visés ci-dessus peut être adressée par courrier électronique à l’adresse du DPO : dpo@syartec.com, ou par courrier postal à l’adresse : 25, Rue Paul Langevin 13290 Aix-en- Provence, accompagnée d’une copie d’un justificatif d’identité en cours de validité. La Société s’engage à répondre à toute demande dans un délai d’un mois à compter de sa réception, ce délai pouvant être prolongé de deux mois supplémentaires compte tenu de la complexité et du nombre de demandes, conformément à l’article 12, paragraphe 3, du RGPD. En cas de prolongation, la personne concernée en est informée dans le délai initial d’un mois.

14. Politique en matière de cookies et traceurs

La Société, dans le cadre de l’exploitation de son site internet et de ses services, est susceptible de déposer des cookies et technologies de traçage sur les terminaux des utilisateurs, conformément aux dispositions légales.

14.1. Définition et typologie des cookies

Un cookie est un petit fichier texte déposé et lu sur le terminal de l’utilisateur (ordinateur, tablette, smartphone) lors de la consultation d’un site internet. La Société utilise les catégories de cookies suivantes : les cookies strictement nécessaires au fonctionnement du site et de ses services (cookies de session, cookies d’authentification, cookies de sécurité, cookies de préférences techniques), les cookies de mesure d’audience et de statistiques (permettant d’analyser la fréquentation et l’utilisation du site et de la plateforme afin d’améliorer l’ergonomie et les performances), les cookies fonctionnels (permettant d’améliorer l’expérience utilisateur, par exemple en mémorisant les préférences de langue ou d’affichage), et, le cas échéant, les cookies publicitaires ou de ciblage (permettant de diffuser des publicités ciblées ou de mesurer l’efficacité de campagnes publicitaires).

14.2. Consentement et gestion des cookies

Conformément à la réglementation applicable, les cookies strictement nécessaires au fonctionnement du site sont exemptés du recueil du consentement. En revanche, le dépôt et la lecture de tous les autres cookies sont subordonnés au recueil du consentement préalable, libre, spécifique, éclairé et univoque de l’utilisateur, au moyen d’un bandeau d’information (CMP – Consent Management Platform) permettant d’accepter ou de refuser chaque catégorie de cookies, et offrant la possibilité de modifier ses choix à tout moment. Le consentement est stocké et peut être retiré à tout moment. L’absence de consentement ou le refus des cookies non essentiels n’empêche pas l’accès au site ni à la plateforme.

14.3. Durée de vie des cookies

Les cookies strictement nécessaires expirent à la fin de la session de navigation ou dans un délai maximal de treize mois. Les cookies de mesure d’audience, les cookies fonctionnels et les cookies publicitaires ont une durée de vie maximale de treize mois à compter de leur dépôt, conformément aux recommandations de la CNIL. Le consentement relatif aux cookies est renouvelé tous les six mois.

15. Prise de décision automatisée et profilage

La Société n’a pas recours, en l’état actuel de ses traitements, à des décisions entièrement automatisées, y compris le profilage, produisant des effets juridiques ou affectant de manière significative les personnes concernées au sens de l’article 22 du RGPD. Dans l’hypothèse où un tel traitement serait envisagé à l’avenir (par exemple, l’utilisation d’algorithmes de scoring commercial ou de modèles prédictifs intégrés à ses services), la Société s’engage à en informer les personnes concernées, à leur fournir une explication claire de la logique sous-jacente, de la portée et des conséquences envisagées de ce traitement, et à garantir leur droit à une intervention humaine, à l’expression de leur point de vue et à la contestation de la décision.

16. Encadrement de la sous-traitance

Lorsque la Société agit en qualité de sous-traitant pour le compte de ses clients dans le cadre de ses services, elle s’engage à ne traiter les données personnelles que sur instruction documentée du responsable de traitement, à garantir la confidentialité des données traitées en s’assurant que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité, à prendre toutes les mesures requises au titre de l’article 32 du RGPD, à ne pas faire appel à un autre sous-traitant sans l’autorisation écrite préalable du responsable de traitement, à aider le responsable de traitement dans le cadre de l’exercice des droits des personnes concernées, à coopérer avec le responsable de traitement pour la notification des violations de données, à restituer ou supprimer les données à la fin de la prestation dans les conditions convenues contractuellement, et à mettre à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d’audits.

L’ensemble de ces engagements est formalisé dans un accord de traitement des données (Data Processing Agreement) annexé au contrat principal liant la Société à ses clients, conformément à l’article 28, paragraphe 3, du RGPD.

17. Protection des données dès la conception et par défaut

Conformément à l’article 25 du RGPD, la Société intègre la protection des données personnelles dès la phase de conception de ses produits et services (privacy by design), en s’assurant que les fonctionnalités de ses services sont développées de manière à limiter la collecte des données au strict nécessaire, à pseudonymiser ou anonymiser les données lorsque cela est possible, à garantir la sécurité des données tout au long de leur cycle de vie, et à prévoir des mécanismes de purge automatisée des données à l’expiration des durées de conservation définies.

Par défaut (privacy by default), la Société s’assure que seules les données personnelles nécessaires à chaque finalité spécifique du traitement sont traitées, tant au regard de la quantité de données collectées que de l’étendue de leur traitement, de leur durée de conservation et de leur accessibilité.

18. Formation et sensibilisation des collaborateurs

La Société met en place un programme régulier de formation et de sensibilisation de ses collaborateurs à la protection des données personnelles et à la cybersécurité. Ce programme comprend une formation initiale pour tout nouveau collaborateur, des sessions de formation continue adaptées aux fonctions de chaque collaborateur (développeurs, équipes support, équipes commerciales, direction), des communications internes régulières sur les bonnes pratiques en matière de protection des données, et la mise à disposition d’une documentation interne accessible (charte informatique, procédures de gestion des incidents, guide des bonnes pratiques RGPD).

19. Registre des activités de traitement

Conformément à l’article 30 du RGPD, la Société tient un registre des activités de traitement, tant en qualité de responsable de traitement qu’en qualité de sous-traitant. Ce registre recense l’ensemble des traitements de données personnelles mis en œuvre par la Société, en précisant pour chacun les finalités, les catégories de personnes concernées et de données traitées, les destinataires, les durées de conservation, les mesures de sécurité appliquées et, le cas échéant, les transferts de données hors EEE et leurs garanties. Ce registre est tenu à la disposition de la CNIL.

20. Modification de la présente politique

La Société se réserve le droit de modifier la présente Politique à tout moment, afin de l’adapter aux évolutions législatives et réglementaires, aux évolutions techniques et fonctionnelles de ses services, ou aux changements organisationnels au sein de la Société. En cas de modification substantielle, les personnes concernées en sont informées par tout moyen approprié (notification sur la plateforme, courrier électronique, publication sur le site internet). La date de dernière mise à jour est mentionnée en tête du présent document.

21. Droit applicable et juridiction compétente

La présente Politique est soumise au droit français. Toute réclamation ou tout litige relatif à l’interprétation ou à l’exécution de la présente Politique qui n’aurait pu être réglé à l’amiable dans un délai de trente (30) jours sera soumis à la compétence exclusive du Tribunal judiciaire d’Aix-en-Provence sans préjudice du droit de toute personne concernée d’introduire une réclamation auprès de la CNIL ou d’exercer tout recours juridictionnel.

22. Contact

Pour toute question relative à la présente Politique ou au traitement de vos données personnelles, vous pouvez contacter le Délégué à la protection des données de la Société aux coordonnées indiquées à la section 3 ci-dessus, ou adresser un courrier à : Syartec, à l’attention du Délégué à la protection des données 25, Rue Paul Langevin 13290 Aix-en- Provence ;

Annexe – Tableau récapitulatif des durées de conservation

Ce tableau est fourni à titre indicatif et récapitulatif. Les durées de conservation applicables sont détaillées à la section 9 de la présente Politique.