Politique de Confidentialité - RGPD

La présente Politique de confidentialité s’intègre intégralement aux Conditions Générales de Vente proposées par la Société Pure Informatique, société à responsabilités limitées, immatriculée au Registre du commerce et des sociétés de Soissons sous le numéro 513511555400029 (la « Société »).

La Société distribue une solution logicielle en mode Saas « Booker » édité par la société MindBody (« l’éditeur ») destinée à des professionnels du secteur du bien-être (les « Etablissements »), leur permettant de bénéficier d’un logiciel de gestion global, CRM – base de données clients – (les « Clients », les « Données Clients ») , logiciel de facturation, de gestion des stocks, suivi des habitudes de consommations  et marketing (les « Services ») via le site disponible sur le lien suivant : www.pure-informatique.com (le « Site »).

Le responsable du traitement des données à caractère personnel des Etablissements est la Société.

Le responsable du traitement des Données Clients est l’Etablissement, la Société ayant, dans ce dernier cas, la qualité de sous-traitant.

La Société s’engage à assurer la conformité des traitements opérés en sa qualité de responsable de traitement et de sous-traitant, dans le cadre des conditions générale de ventes et des Clauses Contractuelles de sous-traitance, conformément aux dispositions applicables du Règlement 2016/679 du Parlement européen et du Conseil en date du 27 avril 2016 (le « RGPD »).
Pour ce faire, la Société a mis en place une Politique de confidentialité stricte afin de garantir un niveau de protection optimal des données collectées de l’Etablissement.

Si l’Etablissement ne souhaite pas voir ses données à caractère personnel collectées dans les conditions définies ci-après, il doit impérativement s’abstenir d’utiliser les Services proposés par la Société.

La présente Politique de Confidentialité est destinée aux Etablissements utilisant les Services.

ARTICLE 1. DONNÉES A CARACTÈRE PERSONNEL COLLECTÉES

1.1. Données d’inscription
Afin de bénéficier des Services proposés par la Société, l’Etablissement valide l’offre de service qui lui a été proposé.
Lors de l’inscription, l’Etablissement est invité à communiquer les données à caractère personnel suivantes

Responsable informatique
  • nom et prénom
  • téléphone
  • adresse e-mail
  • adresse, code postal, ville, pays ;
représentant légal
  • nom et prénom
  • téléphone
  • adresse e-mail
  • adresse, code postal, ville, pays ;
  • SIRET de L’Etablissement
Spa Manager
  • nom et prénom du;
  • téléphone
  • adresse e-mail
  • adresse de l’Etablissement, code postal, ville, pays ;

L’Etablissement consent, lors de son inscription aux Services, à communiquer volontairement à la Société les données à caractère personnel ci-dessus énumérées.
L’Etablissement est informé que la Société ne procède à la collecte d’aucune donnée à caractère sensible au sens de la législation et de la règlementation en vigueur.
L’Etablissement s’engage à ne communiquer que des données exactes, complètes, régulièrement mises à jour sur son identité et ses informations. La Société ne saurait en aucun cas engager sa responsabilité en cas de communication de données obsolètes, illicites ou contraire à l’ordre public. Conformément aux dispositions prévues par les Conditions Générales de Vente, l’Etablissement s’engage à informer immédiatement la Société en cas d’utilisation non autorisée ou malveillante de ses identifiants de connexion aux Services par un tiers.

1.2. Cookies
La Société informe l’Etablissement qu’elle dépose également des Cookies sur le terminal de l’Etablissement et collecte les données de manière cryptées :
Les finalités de traitement des données collectées via les cookies ainsi que leurs gestions sont détaillés à l’article 8.

ARTICLE 2. FINALITÉ DU TRAITEMENT MIS EN ŒUVRE

La Société collecte, traite et conserve les données transmises par l’Etablissement dans le cadre de la gestion administrative et d’accès aux Services.
Ainsi, la Société ne collecte et ne traite les données à caractère personnel de l’Etablissement que pour la stricte exécution et l’utilisation optimale des Services qu’elle propose.
L’Etablissement est également informé que le traitement opéré par la Société permet l’établissement de statistiques sur l’utilisation des Services, afin de permettre à l’Etablissement de procéder à des comparaisons d’utilisation des Services avec d’autres Etablissements de même catégorie. En tout état de cause, ces données permettant l’établissement de statistiques font l’objet d’une totale anonymisation.
La Société garantit qu’aucune donnée à caractère personnel ne sera collectée sans son accord exprès et préalable.
La Société informe l’Etablissement que les données collectées pour l’exécution des Services font l’objet d’un transfert vers les Etats-Unis auprès des sous-traitants (RACKSPACE et Microsoft AZURE) de L’Editeur pour le service d’hébergement, adhérents au système du Privacy Shield, ce à quoi l’Etablissement est expressément informé par les présentes. La Société informe l’Etablissement que le prestataire en charge de l’hébergement de ses données garantit toutes les mesures de sécurité auxquelles il peut légitimement s’attendre. L’Etablissement est informé que selon son choix discrétionnaire, la Société et L’Editeur sont susceptible de changer d’hébergeur.
La Société informe l’Etablissement que les données ne sont conservées que pour la durée de la relation contractuelle expressément nécessaire à la finalité du traitement, jusqu’à fin de la relation contractuelle.

ARTICLE 3. OBLIGATIONS DE LA SOCIETE

En sa qualité de responsable de traitement, et conformément à la législation et la réglementation en vigueur, la Société s’engage à :

  • Ne collecter les données des Etablissements via les Services de la Société que pour les finalités décrites à l’article 2 ;
  • Mettre en place toutes les mesures techniques et organisationnelles pour s’assurer de la sécurité des traitements effectués ;
  • Etablir un registre des traitements ;
  • Restreindre l’accès aux données des Etablissements aux seules personnes habilitées à cet effet ;
  • Sensibiliser et former le personnel interne à la règlementation relative au traitement des données ;
  • Garantir tous les droits d’accès, de portabilité, d’effacement, de rectification et d’opposition des Etablissements à leurs données collectées lors de l’utilisation des Services ;
  • Notifier à la CNIL toute faille de sécurité présentant un risque élevé pour les droits et libertés des Etablissements dans les 72 heures suivant la découverte de la violation ;
  • En cas de résiliation des Services des Etablissements, procéder à la destruction des données de ces derniers dans un délai de un an.

ARTICLE 4. ACCES AUX DONNÉES COLLECTÉES

L’Etablissement dispose à tout moment, au préalable, au cours ou à la suite du traitement, d’un droit d’accès, de copie, de rectification, d’opposition, de portabilité, de limitation et de suppression des données qui le concernent.

Il peut exercer ses droits en adressant un courrier électronique à l’adresse suivante contact@pure-informatique.com, ce, sous réserve de justifier de son identité.

L’Etablissement est informé que les Données Clients sont conservées pour une période de soixante (30) jours à compter de la résiliation, sauf pour les éventuelles données dont une conservation plus longue serait imposée par la législation ou la règlementation.

En outre, l’Etablissement peut à tout moment interroger la Société s’il estime que ses droits ne sont pas respectés. A défaut de réponse satisfaisante, l’Etablissement peut introduire une réclamation devant la CNIL. Pour davantage d’informations, la Société invite l’Etablissement à consulter ses droits sur le site de la CNIL disponible sur le lien suivant : www.cnil.fr.

ARTICLE 5. INTRUSION FRAUDULEUSE

Si L’Editeur était victime d’une intrusion frauduleuse dans ses systèmes, de vol, de destruction, de perte, d’altération, de divulgation, d’accès non autorisé, ou de tout autre acte de malveillance, la Société s’engage à notifier à l’Etablissement (i) la nature de l’intrusion, (ii) les conséquences probables liées à l’acte de malveillance, (iii) les mesures proposées afin de remédier à l’acte de malveillance, dans un délai de soixante-douze (72) heures.

L’acte de malveillance présentant un risque important pour les droits et libertés des Etablissements sera communiqué à la CNIL, en sa qualité d’autorité de protection.

L’Etablissement est dûment informé qu’il ne saurait engager la responsabilité de la Société en cas d’atteinte à la sécurité informatique pouvant causer des dommages au matériel informatique, tout comme en cas d’intrusion frauduleuse ou d’actes de malveillance d’un tiers dans le système, le Compte de l’Etablissement.

ARTICLE 6. DISPOSITIONS PARTICULIÈRES DES DONNEES CLIENTS

L’ensemble des Données Clients demeure la propriété exclusive de l’Etablissement.

L’Etablissement est responsable du traitement des Données Clients lors de l’utilisation des Services. La Société n’aura que la qualité de sous-traitant. En sa qualité de responsable de traitement, l’Etablissement s’engage à ne collecter que des données à caractère professionnel, excluant les données portant atteinte aux personnes, à leur vie privée, à l’ordre public et aux bonnes mœurs, ou en violation des règles afférentes à son activité et sa profession. La collecte des Données Clients demeure la responsabilité exclusive de l’Etablissement.

Il veille notamment à ce que les champs libres de commentaires et alertes relatif à la fiche Clients ne comprenne aucune donnée personnelle sensible ni interdite.

En sa qualité de responsable du traitement, l’Etablissement s’engage à respecter toute législation et réglementation applicables en matière de données à caractère personnel et, en particulier, les dispositions du RGPD, notamment, il s’assure de permettre à tout moment à ses Clients d’exercer notamment leurs droits d’accès, de copie, de rectification, d’opposition, de portabilité, de limitation et de suppression des données qui les concernent. A ce titre, l’Etablissement garantit la Société contre tout recours, sans préjudice de tous dommages et intérêts auxquels la Société pourrait prétendre du fait du non-respect de ses engagements visés ci-dessus, compte tenu des possibilités offertes à cet égard par la solution.

L’Etablissement et la Société s’engagent à mettre en œuvre les moyens techniques et organisationnels appropriés pour assurer de manière raisonnable la sécurité des données à caractère personnel du Client.

En sa qualité de sous-traitant et conformément à l’article 34 de la loi Informatique, la Société s’engage à prendre toutes précautions utiles en vue de préserver la sécurité des données à caractère personnel collectées, et notamment tous les moyens permettant d’empêcher que les données à caractère personnel ne soient déformées, endommagées, ou communiquées à des tiers non autorisés.

En sa qualité de sous-traitant et dans le respect des dispositions légales et règlementaires en vigueur, la Société et l’ensemble de son personnel s’engagent à respecter les obligations suivantes :

  • Ne traiter les données à caractère personnel que sur instruction du responsable de traitement ;
  • respecter la confidentialité des données collectées ;
  • n’effectuer aucune copie des données collectées;
  • ne pas utiliser les données collectées à des fins autres que celles qui déterminent la finalité première du traitement ;
  • ne procéder à aucune divulgation des données à un tiers non autorisé ;
  • adopter toutes les mesures nécessaires permettant d’éviter l’utilisation détournée ou frauduleuse des données collectées via les Services ;
  • s’assurer que L’Editeur prennent toutes les mesures permettant d’assurer la conservation et l’intégrité des données collectées et traitées via les Services, et mettre au service du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations ;
  • apporter toute son aide au responsable de traitement dans l’acquittement de ses obligations ;
  • apporter toute son aide au responsable de traitement afin de garantir la sécurité du traitement, de notifier la violation des données à la CNIL, la communication à la personne concernée de la violation de ses données, à la réalisation d’une analyse d’impact relative à la protection des données et de consultations préalables, comme défini aux articles 32 à 36 du Règlement 2016/679 ;
  • sur demande expresse du responsable de traitement – notamment suite à une requête expresse émanant de l’Etablissement – demander à L’Editeur la suppression de toutes les données collectées et de toutes les bases les ayant conservées, notamment à la l’arrêt définitif d’exploitation des Services par le responsable de traitement, dans les conditions prévues dans les Conditions Générales de Vente ;
  • en cas de résiliation de la souscription aux Services et sur la demande du responsable de traitement, renvoyer les données au responsable de traitement sur sa demande, et procéder à la destruction des données à caractère personnel. Il est convenu que la fin des prestations pour le compte de l’Etablissement en sa qualité de responsable de traitement entraînera la suppression de l’intégralité des données traitées par la Société lors de l’utilisation des Services à l’issue d’une période de douze (12) mois.

ARTICLE 7. GESTION DES COOKIES

Un cookie est un fichier déposé, sous réserve des choix de l’Etablissement, sur son ordinateur lors de la visite d’une page web. Il a pour but de collecter des informations relatives à la navigation de l’Etablissement et de lui adresser des services adaptés à son terminal (ordinateur, mobile ou tablette).
L’Etablissement est par conséquent informé que l’utilisation des Services implique le stockage de fichiers « Cookies », témoins de connexion, autres traceurs ou technologies similaires sur le terminal de l’Etablissement.
L’Etablissement est informé que l’Editeur dépose des cookies et des traceurs sur son terminal afin de permettre (i) à l’Etablissement de s’identifier, (ii) d’améliorer le contenu du Site, ou le cas échéant (iii) à des fins de mesure d’audience du Site par le biais d’un calcul de statistiques sur les pages consultées par l’Etablissement et la détermination des Services les plus utilisés.
L’Etablissement peut à tout moment configurer son navigateur afin de recevoir une notification lorsqu’un Cookie est envoyé ou de refuser les cookies.
Toutefois, certaines des fonctionnalités des Services pourraient ne pas fonctionner sans Cookies. Par ailleurs, si la plupart des navigateurs sont paramétrés par défaut et acceptent l’installation de l’ensemble des Cookies, l’Etablissement a la possibilité, s’il le souhaite, de choisir d’accepter le dépôt de tous les Cookies, autres que les Cookies fonctionnels, ou de les rejeter systématiquement ou encore de choisir ceux qu’il accepte selon leurs émetteurs, et ceci en effectuant les paramétrages suivants.
La Société informe l’Etablissement qu’il peut à tout moment revenir sur son consentement en modifiant ces paramétrages.