Politique de confidentialité
Politique de confidentialité et Données personnelles
Préambule
La présente politique de confidentialité (ci-après la « Politique ») a pour objet d'informer les utilisateurs (ci-après les « Utilisateurs ») du site internet de la collectivité (ci-après le « Site ») des conditions de collecte et de traitement de leurs données personnelles par la collectivité (ci-après la « Collectivité ») et par la Société Django Mesh (ci-après le « Prestataire »). La Collectivité et le Prestataire s'engagent à respecter les dispositions du règlement général sur la protection des données (RGPD) et de la loi Informatique et Libertés modifiée.
Informations concernant le Prestataire :
Django Mesh sise au Parc Technologique des rives de l’Oise 60280 Venette, immatriculée au R.C.S 827 916 933 Compiègne. Responsable de la publication : Anne Guénand, E-mail : contact@bippop.com.
1 - Responsable du traitement
Le responsable du traitement des données personnelles est la Collectivité Cliente. Dans le cadre de l’utilisation des Services le Prestataire intervient en qualité de sous-traitant au sens de la loi française 78-17 du 6 janvier 1978 « Informatique et Libertés » et du RGPD (ci-après la « Réglementation applicable en matière de données personnelles »). Les Parties conviennent de respecter les obligations qui leurs incombent au titre de la Réglementation applicable en matière de données personnelles.
1. Obligations du Prestataire en qualité de sous-traitant
Lors du traitement de données pour le compte de la Collectivité, le Prestataire s'engage à respecter les obligations qui lui incombent au titre de la Réglementation applicable en matière de données personnelles.
1.1. Description du traitement
Pour la durée du Contrat, le Prestataire est autorisé, en qualité de sous-traitant, à traiter pour le compte de la Collectivité les données personnelles nécessaires pour fournir les Services dans les conditions suivantes :
- Nature du traitement : collecte, enregistrement, organisation, structuration, hébergement, effacement ou destruction, accès,
- Finalité du traitement : la fourniture des Services,
- Types de données personnelles traitées :
o Données d’identification : nom, prénom, adresse postale, adresse email ;
o Données de connexion : adresse email, mot de passe.
Catégories de personnes concernées : Membres demandeurs et bénévoles, représentants et référents autorisés par la Collectivité, associations autorisées par la Collectivité ;
1.2. Obligations du Prestataire
Outre les obligations de confidentialité prévues au Contrat qui s'appliquent à toute donnée personnelle, le Prestataire s'engage notamment à :
3. Obligations de la Collectivité en qualité de responsable de traitement
Il incombe à la Collectivité de respecter les obligations relatives à l’information des personnes concernées et à l’exercice de leurs droits. La Collectivité s’engage en conséquence à mettre en place toute mesure permettant aux Utilisateurs Membres de la plateforme personnalisée pour la Collectivité de la contacter directement pour toute question relative à la collecte des données personnelles dans le contexte de l’usage du Site.
4 - Données collectées
La Collectivité collecte les données personnelles suivantes concernant les Utilisateurs : Données d'identification : nom, prénom, adresse postale, adresse e-mail, numéro de téléphone des Utilisateurs Membres, qui se connectent sur le Frontoffice et/ou sur l’application mobile, et des Utilisateurs Administrateurs, qui se connectent sur le backoffice ; Données de connexion : adresse mail (login), mot de passe ; Données de navigation : données non collectées, le Prestataire ne recourt pas à l’usage de cookies ; Données de production et de contenu : Concernant les Utilisateurs Membres : date, type et descriptifs de demandes d’actions bénévoles, date d’acceptation de demandes d’actions bénévoles ; commentaires, données de présentation personnelle, état d’activité (en pause/actif), secteurs d’habitation, secteur d’intervention, préférences d’actions bénévoles, Concernant les Utilisateurs Administrateurs : texte et photos de présentation de la dynamique locale à afficher sur le Site accessible en mode non logué, options d’affichage, paramètres de configuration du Site accessible en mode non logué, paramètres de configuration du Site accessible en mode logué : type d’actions bénévoles, actualités, solutions, liste de référents du territoire, liste des associations et de leurs représentants, dates, états et types d’actions bénévoles ;
5 - Finalités du traitement
Les données personnelles des Utilisateurs sont collectées pour les finalités suivantes : Gestion du compte Utilisateur : création et gestion du compte Utilisateur, accès aux services du Site ; Personnalisation du Site : personnalisation des contenus et des services du Site en fonction des préférences des Utilisateurs ; Envoi d'informations : envoi d'informations concernant les demandes d’actions et envoi d’actualités aux Utilisateurs ; Réalisation d'études statistiques : réalisation d'études statistiques sur la mesure de l’activité bénévole à travers l’usage du Site ;
6 - Durée de conservation des données
Les données personnelles des Utilisateurs sont conservées pendant une durée n'excédant pas celle nécessaire aux finalités du traitement pour lesquelles elles ont été collectées ; Ainsi, les données d'identification sont conservées pendant toute la durée de l'utilisation du Site par l'Utilisateur Membre. Les données de connexion sont conservées pendant toute la durée de l'utilisation du Site par l'Utilisateur Membre. Les données de navigation ne sont pas collectées. Les données de production et de contenu sont conservées par la Collectivité à des fins d’analyse de l’activité de sa dynamique d’entraide. Les données correspondant aux Utilisateurs Membres ayant formulé une demande de désinscription sont anonymisées.
7 – Politique de cookies
Le Prestataire n’effectue aucune collecte de données personnelles à des fins marketing ou commerciales sur les sites Bip Pop en marque blanche, n’effectue pas de dépôt de cookie sur le terminal d’un utilisateur lorsque celui-ci navigue sur Internet, c'est à dire qu'aucun cookie n'est installé sur les sites Bip Pop en marque blanche. Pour rappel, un cookie, ou traqueur, est un petit fichier texte déposé par un serveur sur le terminal d’un utilisateur lorsque celui-ci navigue sur un site internet. Le terminal peut être un ordinateur, un smartphone, une tablette ou encore une console de jeux connectée à internet.
8 - Droits des Utilisateurs
Conformément à la réglementation en vigueur, les Utilisateurs disposent des droits suivants : Droit d'accès : droit d'accéder à leurs données personnelles et de recevoir une copie de celles-ci ; Droit de rectification : droit de rectifier leurs données personnelles inexactes ; Droit d'effacement : droit d'obtenir l'effacement de leurs données personnelles dans les cas prévus par la réglementation (les demandes d’effacement doivent être adressées par mail à l’adresse contact@bippop.com) ; Droit à la limitation du traitement : droit de limiter le traitement de leurs données personnelles dans les cas prévus par la réglementation ; Droit d'opposition au traitement : droit de s'opposer au traitement de leurs données personnelles dans les cas prévus par la réglementation.
9. Lieu du traitement
Le Prestataire s’engage à ce que les données personnelles qu’il traite pour le compte de la Collectivité le soient à partir d’un pays membre de l’Union Européenne ou au sein de tout autre pays reconnu par la Commission Européenne comme disposant d’un niveau de protection suffisant des données personnelles au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes. Par exception, le Prestataire pourra transférer les données personnelles qui lui sont confiées par la Collectivité en dehors de l'Espace Économique Européen pour les seuls besoins du Contrat. Avant tout transfert de données, le Prestataire s'engage à : - communiquer à la Collectivité la liste des pays situés en dehors de l'Espace Économique Européen où le Prestataire transférera des données ; - à coopérer avec la Collectivité nt, afin d'assurer la mise en œuvre de procédures adéquates pour se conformer à la Règlementation applicable en matière de protection des données ; - le cas échéant à mettre en œuvre les clauses contractuelles types encadrant les transferts des Données Personnelles telles qu’adoptées par la Commission européenne ;
10. Sous-traitants du Prestataire
La Collectivité est informée que dans le cadre des Services, le Prestataire fait appel à des sous-traitants fournissant des garanties suffisantes quant à la mise en place des mesures de sécurité, techniques et organisationnelles appropriées pour assurer sa conformité à la Réglementation applicable en matière de données personnelles. Dans le cadre de l’exécution du présent Contrat, le Prestataire sous-traite partie du traitement aux Sous-traitants suivants :
Dénomination du Sous-traitant Adresse et localité du Sous-traitant Finalité du traitement effectué : Sous-traitant OVH 2 rue Kellermann, 59100 Roubaix ;
Hébergement de la Plateforme Bip Pop et Jaide-ici : NEXYLAN 6 Av. de Flandre, 59491 Villeneuve-d'Ascq Hébergement de la base de données de la Plateforme ;
Sous-Traitant OVH
Le sous-traitant OVH héberge les noms de domaines Bippop.com ainsi que Jaide-ici.fr.
Le sous-traitant OVH est également fournisseur de messagerie des mails en @bippop.com du Prestataire.
L’entreprise OVH est située en France, les données sont hébergées en France, 2 rue Kellermann, 59100 Roubaix.
Sous-Traitant Nexylan
Le sous-traitant Nexylan fournit au Prestataire un service d’hébergement sur Internet et sur des Serveurs informatiques situés en France, sans aucune implantation de serveurs à l’étranger. Ce service d’hébergement est associé à des prestations d’infogérance.
Le Prestataire a conclu un contrat d’Infogérance avec le sous-traitant Nexylan, les capacités d’intervention et la garantie de temps de résolution du sous-traitant sont décrites selon les modalités ci-dessous :
INFOGÉRANCE MONITORING : 24/7/365
GESTION DES DEMANDES (hors incidents) : Heures Ouvrables
GESTION DES INCIDENTS : Heures Ouvrables
GARANTIE DE TEMPS D'INTERVENTION : 2H (Heures Ouvrables)
GARANTIE DE TEMPS DE RÉSOLUTION : 8H (Heures Ouvrables)
HISTORIQUE DES METRIQUES : 15 JOURS
MISE À JOUR SÉCURITÉ DES OS : Inclus
Serveur Nexylan : Souscription serveur sécurisé sous l’OS Rocky Linux. Réplication des données vers le serveur Server Security – Antimalware, service de sécurisation du serveur.
Ajout de disque : 10 Go backupés pour permettre de supporter la configuration du serveur sécurisé L’entreprise Nexylan est située en France, les données sont hébergées en France, 6 Av. de Flandre, 59491 Villeneuve d’Ascq.
Préambule
La présente politique de confidentialité (ci-après la « Politique ») a pour objet d'informer les utilisateurs (ci-après les « Utilisateurs ») du site internet de la collectivité (ci-après le « Site ») des conditions de collecte et de traitement de leurs données personnelles par la collectivité (ci-après la « Collectivité ») et par la Société Django Mesh (ci-après le « Prestataire »). La Collectivité et le Prestataire s'engagent à respecter les dispositions du règlement général sur la protection des données (RGPD) et de la loi Informatique et Libertés modifiée.
Informations concernant le Prestataire :
Django Mesh sise au Parc Technologique des rives de l’Oise 60280 Venette, immatriculée au R.C.S 827 916 933 Compiègne. Responsable de la publication : Anne Guénand, E-mail : contact@bippop.com.
1 - Responsable du traitement
Le responsable du traitement des données personnelles est la Collectivité Cliente. Dans le cadre de l’utilisation des Services le Prestataire intervient en qualité de sous-traitant au sens de la loi française 78-17 du 6 janvier 1978 « Informatique et Libertés » et du RGPD (ci-après la « Réglementation applicable en matière de données personnelles »). Les Parties conviennent de respecter les obligations qui leurs incombent au titre de la Réglementation applicable en matière de données personnelles.
1. Obligations du Prestataire en qualité de sous-traitant
Lors du traitement de données pour le compte de la Collectivité, le Prestataire s'engage à respecter les obligations qui lui incombent au titre de la Réglementation applicable en matière de données personnelles.
1.1. Description du traitement
Pour la durée du Contrat, le Prestataire est autorisé, en qualité de sous-traitant, à traiter pour le compte de la Collectivité les données personnelles nécessaires pour fournir les Services dans les conditions suivantes :
- Nature du traitement : collecte, enregistrement, organisation, structuration, hébergement, effacement ou destruction, accès,
- Finalité du traitement : la fourniture des Services,
- Types de données personnelles traitées :
o Données d’identification : nom, prénom, adresse postale, adresse email ;
o Données de connexion : adresse email, mot de passe.
Catégories de personnes concernées : Membres demandeurs et bénévoles, représentants et référents autorisés par la Collectivité, associations autorisées par la Collectivité ;
1.2. Obligations du Prestataire
Outre les obligations de confidentialité prévues au Contrat qui s'appliquent à toute donnée personnelle, le Prestataire s'engage notamment à :
- n'utiliser les données personnelles qui lui sont confiées par la Collectivité que pour le compte de la Collectivité, conformément aux instructions documentées de la Collectivité et aux seules fins de réalisation du Contrat ;
- ne pas transférer les données personnelles vers un pays tiers ou à une organisation internationale ne présentant pas les garanties adéquates en matière de protection des données personnelles, à moins de respecter les conditions du présent Article ou d'être tenu d'y procéder en vertu du droit applicable ; dans ce cas, le Prestataire informe la Collectivité de cette obligation juridique avant le transfert, sauf si le droit applicable interdit une telle information pour des motifs importants d'intérêt public ;
- ne pas céder, utiliser, modifier ou divulguer les données personnelles à quiconque, que ce soit à titre gratuit ou onéreux, sauf consentement écrit préalable de la Collectivité et n’utiliser les données personnelles, que pour le compte de la Collectivité, conformément aux instructions documentées de la Collectivité et aux seules fins de réalisation des Services ;
- prendre les mesures techniques, organisationnelles et structurelles appropriées afin de préserver, au regard de la nature des données personnelles et des risques présentés par la mise en œuvre du Contrat, la confidentialité et la sécurité des données personnelles et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés, et plus généralement, à mettre en œuvre les mesures nécessaires pour protéger les données personnelles contre toute destruction accidentelle ou illicite, perte accidentelle, altération, diffusion ou accès non autorisés ;
- prendre toutes les mesures requises pour s'assurer que ses salariés impliqués dans la réalisation des Services soient informés et formés de manière adéquate pour respecter les engagements souscrits par le Prestataire en termes de confidentialité et de sécurité des données personnelles conformément aux présentes ;
- notifier la Collectivité, dans les meilleurs délais à compter de leur connaissance, et par écrit, tout incident relatif au traitement et à la sécurité des données personnelles et notamment tout accès, divulgation, utilisation ou accès non autorisé ou modification ou destruction des données personnelles, en précisant les mesures qui sont mises en œuvre par le Prestataire pour mettre fin à l'incident et empêcher son renouvellement. La Collectivité se réserve le droit de formuler des demandes, suggestions ou commentaires par écrit concernant les mesures prises par le Prestataire ;
- coopérer avec la Collectivité dans le cadre du respect de ses obligations légales au titre de la Réglementation applicable en matière de données personnelles, et notamment pour la mise en œuvre des droits garantis aux personnes concernées, la réalisation d’analyse d’impact et les échanges avec les autorités de contrôle ;
- selon le choix de la Collectivité, supprimer toutes les données personnelles ou les renvoyer à la Collectivité au terme du Contrat et détruire les copies existantes, à moins que le droit applicable n'exige la conservation des données personnelles ;
- mettre à la disposition de la Collectivité toutes les informations nécessaires pour démontrer le respect des obligations prévues à la présente annexe et pour permettre la réalisation d'audits, y compris des inspections, par la Collectivité ou un autre auditeur qu'il a mandaté, et contribuer à ces audits ;
- informer immédiatement la Collectivité si, une instruction de la Collectivité constitue une violation du Contrat ou d'autres dispositions du droit de l'Union européenne ou du droit des États membres relatives à la protection des données.
3. Obligations de la Collectivité en qualité de responsable de traitement
Il incombe à la Collectivité de respecter les obligations relatives à l’information des personnes concernées et à l’exercice de leurs droits. La Collectivité s’engage en conséquence à mettre en place toute mesure permettant aux Utilisateurs Membres de la plateforme personnalisée pour la Collectivité de la contacter directement pour toute question relative à la collecte des données personnelles dans le contexte de l’usage du Site.
4 - Données collectées
La Collectivité collecte les données personnelles suivantes concernant les Utilisateurs : Données d'identification : nom, prénom, adresse postale, adresse e-mail, numéro de téléphone des Utilisateurs Membres, qui se connectent sur le Frontoffice et/ou sur l’application mobile, et des Utilisateurs Administrateurs, qui se connectent sur le backoffice ; Données de connexion : adresse mail (login), mot de passe ; Données de navigation : données non collectées, le Prestataire ne recourt pas à l’usage de cookies ; Données de production et de contenu : Concernant les Utilisateurs Membres : date, type et descriptifs de demandes d’actions bénévoles, date d’acceptation de demandes d’actions bénévoles ; commentaires, données de présentation personnelle, état d’activité (en pause/actif), secteurs d’habitation, secteur d’intervention, préférences d’actions bénévoles, Concernant les Utilisateurs Administrateurs : texte et photos de présentation de la dynamique locale à afficher sur le Site accessible en mode non logué, options d’affichage, paramètres de configuration du Site accessible en mode non logué, paramètres de configuration du Site accessible en mode logué : type d’actions bénévoles, actualités, solutions, liste de référents du territoire, liste des associations et de leurs représentants, dates, états et types d’actions bénévoles ;
5 - Finalités du traitement
Les données personnelles des Utilisateurs sont collectées pour les finalités suivantes : Gestion du compte Utilisateur : création et gestion du compte Utilisateur, accès aux services du Site ; Personnalisation du Site : personnalisation des contenus et des services du Site en fonction des préférences des Utilisateurs ; Envoi d'informations : envoi d'informations concernant les demandes d’actions et envoi d’actualités aux Utilisateurs ; Réalisation d'études statistiques : réalisation d'études statistiques sur la mesure de l’activité bénévole à travers l’usage du Site ;
6 - Durée de conservation des données
Les données personnelles des Utilisateurs sont conservées pendant une durée n'excédant pas celle nécessaire aux finalités du traitement pour lesquelles elles ont été collectées ; Ainsi, les données d'identification sont conservées pendant toute la durée de l'utilisation du Site par l'Utilisateur Membre. Les données de connexion sont conservées pendant toute la durée de l'utilisation du Site par l'Utilisateur Membre. Les données de navigation ne sont pas collectées. Les données de production et de contenu sont conservées par la Collectivité à des fins d’analyse de l’activité de sa dynamique d’entraide. Les données correspondant aux Utilisateurs Membres ayant formulé une demande de désinscription sont anonymisées.
7 – Politique de cookies
Le Prestataire n’effectue aucune collecte de données personnelles à des fins marketing ou commerciales sur les sites Bip Pop en marque blanche, n’effectue pas de dépôt de cookie sur le terminal d’un utilisateur lorsque celui-ci navigue sur Internet, c'est à dire qu'aucun cookie n'est installé sur les sites Bip Pop en marque blanche. Pour rappel, un cookie, ou traqueur, est un petit fichier texte déposé par un serveur sur le terminal d’un utilisateur lorsque celui-ci navigue sur un site internet. Le terminal peut être un ordinateur, un smartphone, une tablette ou encore une console de jeux connectée à internet.
8 - Droits des Utilisateurs
Conformément à la réglementation en vigueur, les Utilisateurs disposent des droits suivants : Droit d'accès : droit d'accéder à leurs données personnelles et de recevoir une copie de celles-ci ; Droit de rectification : droit de rectifier leurs données personnelles inexactes ; Droit d'effacement : droit d'obtenir l'effacement de leurs données personnelles dans les cas prévus par la réglementation (les demandes d’effacement doivent être adressées par mail à l’adresse contact@bippop.com) ; Droit à la limitation du traitement : droit de limiter le traitement de leurs données personnelles dans les cas prévus par la réglementation ; Droit d'opposition au traitement : droit de s'opposer au traitement de leurs données personnelles dans les cas prévus par la réglementation.
9. Lieu du traitement
Le Prestataire s’engage à ce que les données personnelles qu’il traite pour le compte de la Collectivité le soient à partir d’un pays membre de l’Union Européenne ou au sein de tout autre pays reconnu par la Commission Européenne comme disposant d’un niveau de protection suffisant des données personnelles au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes. Par exception, le Prestataire pourra transférer les données personnelles qui lui sont confiées par la Collectivité en dehors de l'Espace Économique Européen pour les seuls besoins du Contrat. Avant tout transfert de données, le Prestataire s'engage à : - communiquer à la Collectivité la liste des pays situés en dehors de l'Espace Économique Européen où le Prestataire transférera des données ; - à coopérer avec la Collectivité nt, afin d'assurer la mise en œuvre de procédures adéquates pour se conformer à la Règlementation applicable en matière de protection des données ; - le cas échéant à mettre en œuvre les clauses contractuelles types encadrant les transferts des Données Personnelles telles qu’adoptées par la Commission européenne ;
10. Sous-traitants du Prestataire
La Collectivité est informée que dans le cadre des Services, le Prestataire fait appel à des sous-traitants fournissant des garanties suffisantes quant à la mise en place des mesures de sécurité, techniques et organisationnelles appropriées pour assurer sa conformité à la Réglementation applicable en matière de données personnelles. Dans le cadre de l’exécution du présent Contrat, le Prestataire sous-traite partie du traitement aux Sous-traitants suivants :
Dénomination du Sous-traitant Adresse et localité du Sous-traitant Finalité du traitement effectué : Sous-traitant OVH 2 rue Kellermann, 59100 Roubaix ;
Hébergement de la Plateforme Bip Pop et Jaide-ici : NEXYLAN 6 Av. de Flandre, 59491 Villeneuve-d'Ascq Hébergement de la base de données de la Plateforme ;
Sous-Traitant OVH
Le sous-traitant OVH héberge les noms de domaines Bippop.com ainsi que Jaide-ici.fr.
Le sous-traitant OVH est également fournisseur de messagerie des mails en @bippop.com du Prestataire.
L’entreprise OVH est située en France, les données sont hébergées en France, 2 rue Kellermann, 59100 Roubaix.
Sous-Traitant Nexylan
Le sous-traitant Nexylan fournit au Prestataire un service d’hébergement sur Internet et sur des Serveurs informatiques situés en France, sans aucune implantation de serveurs à l’étranger. Ce service d’hébergement est associé à des prestations d’infogérance.
Le Prestataire a conclu un contrat d’Infogérance avec le sous-traitant Nexylan, les capacités d’intervention et la garantie de temps de résolution du sous-traitant sont décrites selon les modalités ci-dessous :
INFOGÉRANCE MONITORING : 24/7/365
GESTION DES DEMANDES (hors incidents) : Heures Ouvrables
GESTION DES INCIDENTS : Heures Ouvrables
GARANTIE DE TEMPS D'INTERVENTION : 2H (Heures Ouvrables)
GARANTIE DE TEMPS DE RÉSOLUTION : 8H (Heures Ouvrables)
HISTORIQUE DES METRIQUES : 15 JOURS
MISE À JOUR SÉCURITÉ DES OS : Inclus
Serveur Nexylan : Souscription serveur sécurisé sous l’OS Rocky Linux. Réplication des données vers le serveur Server Security – Antimalware, service de sécurisation du serveur.
Ajout de disque : 10 Go backupés pour permettre de supporter la configuration du serveur sécurisé L’entreprise Nexylan est située en France, les données sont hébergées en France, 6 Av. de Flandre, 59491 Villeneuve d’Ascq.