Politique de  Confidentialité - RGPD

La présente Politique de confidentialité s’intègre intégralement aux Conditions Générales de Vente proposées par la Société Pure Informatique, société à responsabilités limitées,

immatriculée au Registre du commerce et des sociétés de Soissons sous le numéro 513511555400029 (la « Société »).

La Société distribue une solution logicielle en mode Saas « Booker » édité par la société MindBody (« l’éditeur ») destinée à des professionnels du secteur du bien-être (les «

Établissements »), leur permettant de bénéficier d’un logiciel de gestion global, CRM – base de données clients – (les « Clients », les « Données Clients ») , logiciel de facturation, de gestion des stocks, suivi des habitudes de consommations  et marketing (les « Services ») via le site disponible sur le lien suivant : www.pure-informatique.com (le « Site »).

Le responsable du traitement des données à caractère personnel des Établissements est la Société.

Le responsable du traitement des Données Clients est l’Établissement, la Société ayant, dans ce dernier cas, la qualité de sous-traitant.

La Société s’engage à assurer la conformité des traitements opérés en sa qualité de responsable de traitement et de sous-traitant, dans le cadre des conditions générale de ventes

et des Clauses Contractuelles de sous-traitance, conformément aux dispositions applicables du Règlement 2016/679 du Parlement européen et du Conseil en date du 27 avril 2016 (le « RGPD »).

Pour ce faire, la Société a mis en place une Politique de confidentialité stricte afin de garantir un niveau de protection optimal des données collectées de l’Établissement.

Si l’Établissement ne souhaite pas voir ses données à caractère personnel collectées dans les conditions définies ci-après, il doit impérativement s’abstenir d’utiliser les Services proposés par la Société.

La présente Politique de Confidentialité est destinée aux Établissements utilisant les Services.

ARTICLE 1. DONNÉES A CARACTÈRE PERSONNEL COLLECTÉES

1.1. Données d’inscription

Afin de bénéficier des Services proposés par la Société, l’Établissement valide l’offre de services qui lui a été proposé. Lors de l’inscription, l’Établissement est invité à communiquer les données à caractère personnel suivantes

Responsable informatique

- nom et prénom

- téléphone

- adresse e-mail

- adresse, code postal, ville, pays ;

Représentant légal

- nom et prénom

- téléphone

- adresse e-mail

- adresse, code postal, ville, pays ;

- SIRET de L’Établissement

Spa Manager

- nom et prénom du;

- téléphone

- adresse e-mail

- adresse de l’Établissement, code postal, ville, pays ;

L’Établissement consent, lors de son inscription aux Services, à communiquer volontairement à la Société les données à caractère personnel ci-dessus énumérées.

L’Établissement est informé que la Société ne procède à la collecte d’aucune donnée à caractère sensible au sens de la législation et de la règlementation en vigueur.

L’Établissement s’engage à ne communiquer que des données exactes, complètes, régulièrement mises à jour sur son identité et ses informations. La Société ne saurait en aucun

cas engager sa responsabilité en cas de communication de données obsolètes, illicites ou contraire à l’ordre public. Conformément aux dispositions prévues par les Conditions

Générales de Vente, l’Établissement s’engage à informer immédiatement la Société en cas d’utilisation non autorisée ou malveillante de ses identifiants de connexion aux Services par un tiers.

1.2. Cookies

La Société informe l’Établissement qu’elle dépose également des Cookies sur le terminal de l’Établissement et collecte les données de manière cryptées :

Les finalités de traitement des données collectées via les cookies ainsi que leurs gestions sont détaillés à l’article 8.

ARTICLE 2. FINALITÉ DU TRAITEMENT MIS EN ŒUVRE

La Société collecte, traite et conserve les données transmises par l’Établissement dans le cadre de la gestion administrative et d’accès aux Services.Ainsi, la Société ne collecte et ne traite les données à caractère personnel de l’Établissement que pour la stricte exécution et l’utilisation optimale des Services qu’elle propose.

L’Établissement est également informé que le traitement opéré par la Société permet l’établissement de statistiques sur l’utilisation des Services, afin de permettre à

l’Établissement de procéder à des comparaisons d’utilisation des Services avec d’autres Établissements de même catégorie. En tout état de cause, ces données permettant

l’établissement de statistiques font l’objet d’une totale anonymisation.

La Société garantit qu’aucune donnée à caractère personnel ne sera collectée sans son accord exprès et préalable.

La Société informe l’Établissement que les données collectées pour l’exécution des Services font l’objet d’un transfert vers les États-Unis auprès des sous-traitants (RACKSPACE et Microsoft AZURE) de L’Éditeur pour le service d’hébergement, adhérents au système du Privacy Shield, ce à quoi l’Établissement est expressément informé par les présentes. La Société informe l’Établissement que le prestataire en charge de l’hébergement de ses données garantit toutes les mesures de sécurité auxquelles il peut légitimement s’attendre.

L’Établissement est informé que selon son choix discrétionnaire, la Société et L’Éditeur sont susceptibles de changer d’hébergeur.

La Société informe l’Établissement que les données ne sont conservées que pour la durée de la relation contractuelle expressément nécessaire à la finalité du traitement, jusqu’à fin de la relation contractuelle.

ARTICLE 3. OBLIGATIONS DE LA SOCIETE

En sa qualité de responsable de traitement, et conformément à la législation et la réglementation en vigueur, la Société s’engage à :

Ne collecter les données des Établissements via les Services de la Société que pour les finalités décrites à l’article 2 ;

Mettre en place toutes les mesures techniques et organisationnelles pour s’assurer de la sécurité des traitements effectués ;

Établir un registre des traitements ;

Restreindre l’accès aux données des Établissements aux seules personnes habilitées à cet effet ;

Sensibiliser et former le personnel interne à la règlementation relative au traitement des données ;

Garantir tous les droits d’accès, de portabilité, d’effacement, de rectification et d’opposition des Établissements à leurs données collectées lors de l’utilisation des

Services ;

Notifier à la CNIL toute faille de sécurité présentant un risque élevé pour les droits et libertés des Établissements dans les 72 heures suivant la découverte de la violation ;

En cas de résiliation des Services des Établissements, procéder à la destruction des données de ces derniers dans un délai de un an.

ARTICLE 4. ACCES AUX DONNÉES COLLECTÉES

L’Établissement dispose à tout moment, au préalable, au cours ou à la suite du traitement, d’un droit d’accès, de copie, de rectification, d’opposition, de portabilité, de limitation et de suppression des données qui le concernent.

Il peut exercer ses droits en adressant un courrier électronique à l’adresse suivante contact@pure-informatique.com, ce, sous réserve de justifier de son identité.

L’Établissement est informé que les Données Clients sont conservées pour une période de soixante (30) jours à compter de la résiliation, sauf pour les éventuelles données dont une conservation plus longue serait imposée par la législation ou la règlementation.

En outre, l’Établissement peut à tout moment interroger la Société s’il estime que ses droits ne sont pas respectés. A défaut de réponse satisfaisante, l’Établissement peut introduire une réclamation devant la CNIL. Pour davantage d’informations, la Société invite l’Établissement à consulter ses droits sur le site de la CNIL disponible sur le lien suivant : www.cnil.fr.

ARTICLE 5. INTRUSION FRAUDULEUSE

Si L’Éditeur était victime d’une intrusion frauduleuse dans ses systèmes, de vol, de destruction, de perte, d’altération, de divulgation, d’accès non autorisé, ou de tout autre acte

de malveillance, la Société s’engage à notifier à l’Établissement (i) la nature de l’intrusion, (ii) les conséquences probables liées à l’acte de malveillance, (iii) les mesures proposées afin de remédier à l’acte de malveillance, dans un délai de soixante-douze (72) heures.

L’acte de malveillance présentant un risque important pour les droits et libertés des Établissements sera communiqué à la CNIL, en sa qualité d’autorité de protection.

L’Établissement est dûment informé qu’il ne saurait engager la responsabilité de la Société en cas d’atteinte à la sécurité informatique pouvant causer des dommages au matériel

informatique, tout comme en cas d’intrusion frauduleuse ou d’actes de malveillance d’un tiers dans le système, le Compte de l’Établissement.

ARTICLE 6. DISPOSITIONS

PARTICULIÈRES DES DONNEES CLIENTS

L’ensemble des Données Clients demeure la propriété exclusive de l’Établissement.

L’Établissement est responsable du traitement des Données Clients lors de l’utilisation des Services. La Société n’aura que la qualité de sous-traitant. En sa qualité de responsable de traitement, l’Établissement s’engage à ne collecter que des données à caractère professionnel, excluant les données portant atteinte aux personnes, à leur vie privée, à l’ordre public et aux bonnes mœurs, ou en violation des règles afférentes à son activité et sa profession. La collecte

des Données Clients demeure la responsabilité exclusive de l’Établissement.

Il veille notamment à ce que les champs libres de commentaires et alertes relatif à la fiche Clients ne comprenne aucune donnée personnelle sensible ni interdite.

En sa qualité de responsable du traitement, l’Établissement s’engage à respecter toute législation et réglementation applicables en matière de données à caractère personnel et, en

particulier, les dispositions du RGPD, notamment, il s’assure de permettre à tout moment à ses Clients d’exercer notamment leurs droits d’accès, de copie, de rectification, d’opposition, de portabilité, de limitation et de suppression des données qui les concernent. A ce titre, l’Établissement garantit la Société contre tout recours, sans préjudice de tous dommages et intérêts auxquels la Société pourrait prétendre du fait du non-respect de ses engagements visés ci-dessus, compte tenu des possibilités offertes à cet égard par la solution.

L’Établissement et la Société s’engagent à mettre en œuvre les moyens techniques et organisationnels appropriés pour assurer de manière raisonnable la sécurité des données à

caractère personnel du Client.

En sa qualité de sous-traitant et conformément à l’article 34 de la loi Informatique, la Société s’engage à prendre toutes précautions utiles en vue de préserver la sécurité des données à caractère personnel collectées, et notamment tous les moyens permettant d’empêcher que les données à caractère personnel ne soient déformées, endommagées, ou communiquées à des tiers non autorisés.

En sa qualité de sous-traitant et dans le respect des dispositions légales et règlementaires en vigueur, la Société et l’ensemble de son personnel s’engagent à respecter les obligations suivantes :

Ne traiter les données à caractère personnel que sur instruction du responsable de

traitement ;

- respecter la confidentialité des données collectées ;

- n’effectuer aucune copie des données collectées;

- ne pas utiliser les données collectées à des fins autres que celles qui déterminent la finalité première du traitement ;

- ne procéder à aucune divulgation des données à un tiers non autorisé ;

- adopter toutes les mesures nécessaires permettant d’éviter l’utilisation détournée ou frauduleuse des données collectées via les Services ;

- s’assurer que L’Éditeur prennent toutes les mesures permettant d’assurer la conservation et l’intégrité des données collectées et traitées via les Services, et mettre au service du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations ;

- apporter toute son aide au responsable de traitement dans l’acquittement de ses obligations ;

- apporter toute son aide au responsable de traitement afin de garantir la sécurité du traitement, de notifier la violation des données à la CNIL, la communication à la personne concernée de la violation de ses données, à la réalisation d’une analyse d’impact relative à la protection des données et de consultations préalables, comme défini aux articles 32 à 36 du Règlement 2016/679 ;

- sur demande expresse du responsable de traitement – notamment suite à une requête expresse émanant de l’Établissement – demander à L’Éditeur la suppression de toutes

les données collectées et de toutes les bases les ayant conservées, notamment à la l’arrêt définitif d’exploitation des Services par le responsable de traitement, dans les

conditions prévues dans les Conditions Générales de Vente ;

- en cas de résiliation de la souscription aux Services et sur la demande du responsable de traitement, renvoyer les données au responsable de traitement sur sa demande, et

procéder à la destruction des données à caractère personnel. Il est convenu que la fin des prestations pour le compte de l’Établissement en sa qualité de responsable de

traitement entraînera la suppression de l’intégralité des données traitées par la Société lors de l’utilisation des Services à l’issue d’une période de douze (12) mois.

ARTICLE 7. GESTION DES COOKIES

Un cookie est un fichier déposé, sous réserve des choix de l’Établissement, sur son ordinateur lors de la visite d’une page web. Il a pour but de collecter des informations relatives à la navigation de l’Établissement et de lui adresser des services adaptés à son terminal

(ordinateur, mobile ou tablette).

L’Établissement est par conséquent informé que l’utilisation des Services implique le stockage de fichiers « Cookies », témoins de connexion, autres traceurs ou technologies

similaires sur le terminal de l’Établissement.

L’Établissement est informé que l’Éditeur dépose des cookies et des traceurs sur son terminal afin de permettre (i) à l’Établissement de s’identifier, (ii) d’améliorer le contenu du Site, ou le cas échéant (iii) à des fins de mesure d’audience du Site par le biais d’un calcul de statistiques sur les pages consultées par l’Établissement et la détermination des Services les plus utilisés.

L’Établissement peut à tout moment configurer son navigateur afin de recevoir une notification lorsqu’un Cookie est envoyé ou de refuser les cookies.

Toutefois, certaines des fonctionnalités des Services pourraient ne pas fonctionner sans Cookies. Par ailleurs, si la plupart des navigateurs sont paramétrés par défaut et acceptent

l’installation de l’ensemble des Cookies, l’Établissement a la possibilité, s’il le souhaite, de choisir d’accepter le dépôt de tous les Cookies, autres que les Cookies fonctionnels, ou de les rejeter systématiquement ou encore de choisir ceux qu’il accepte selon leurs émetteurs, et ceci en effectuant les paramétrages suivants.

La Société informe l’Établissement qu’il peut à tout moment revenir sur son consentement en modifiant ces paramétrages.