Politique de Factomos relative aux données personnelles
MAJ du 1er avril 2022
Les données personnelles recueillies par Factomos dans le cadre de la mise à disposition des services sur l’application https://app.factomos.com (ci-après les « Services ») sont collectées, traitées et conservées conformément aux lois et règlementations en matière de données personnelles, et notamment à la Loi « Informatique et Libertés » du 6 janvier 1978, dans sa version actuellement en vigueur et au Règlement (UE) 2016/679 du 27 avril 2016 (Règlement Général pour la Protection des Données – ci-après le « RGPD »).
Pour les besoins de la présente clause, l’expression « données personnelles » (ci-après « Données Personnelles ») doit être entendue comme correspondant aux « données à caractère personnel » telles que définies par le RGPD.
Factomos intervient en qualité de responsable de traitement pour les Données Personnelles collectées dans le cadre de la gestion de sa relation client avec l’entreprise utilisatrice des Services (ci-après le « Client »).
En revanche, concernant les Données Personnelles qui sont saisies par le Client ou l’utilisateur final dans le cadre de l’utilisation des services (et notamment des services de facturation), Factomos intervient en qualité de sous-traitant de données personnelles.
1. Concernant les Données Personnelles pour lesquelles Factomos est responsable de traitement
Les Données Personnelles communiquées par le Client ne sont utilisées (par Factomos, ses prestataires et sous-traitants) que pour les finalités suivantes :
| Nature du traitement | Données Personnelles concernées | Finalité |
|---|---|---|
| Données Personnelles Client | nom, prénom, adresse email et entreprise de rattachement de l’interlocuteur chez le Client. Gestion de la relation contractuelle avec le Client. | Gestion de la relation contractuelle avec le Client. Le traitement des Données Personnelles est réalisé sur le fondement de la relation contractuelle visé à l’article 6.1 (b) du RGPD, résultant de l’utilisation des Services. |
| Données Personnelles relatives à l’exercice des droits des personnes concernées | Données communiquées par la personne concernée dans le cadre de l’exercice de ses droits et notamment nom, prénom, adresse, carte d’identité, etc… | Gestion de l’exercice des droits des personnes concernées. Le traitement des Données Personnelles est réalisé sur le fondement de l’obligation légal visé à l’article 6.1 (c) du RGPD. |
| Données Personnelles relatives aux contentieux | Toute Donnée Personnelle collectée dans le cadre des traitements mentionnés ci-dessus. | Gestion des contentieux clients pour la défense des intérêts de Factomos en justice. Le traitement des Données Personnelles est réalisé sur le fondement de l’intérêt légitime visé à l’article 6.1 (f) du RGPD. |
Toutes les informations concernant les Données Personnelles recueillies par le biais de Cookies sont disponibles en cliquant en vous rendant sur la
Politique de Cookies.
Les Données Personnelles sont destinées aux services et personnels habilités de Factomos pour la réalisation de ses finalités de traitement définies précédemment (service client, service juridique, etc…).
Elles peuvent être communiquées, pour certaines des finalités précitées, et ce uniquement si une telle communication s’avère nécessaire, à des prestataires de Factomos pouvant intervenir dans le cadre des traitements de Données Personnelles.
Ces destinataires agissent uniquement pour notre compte et sur les instructions de Factomos et reçoivent uniquement les Données Personnelles nécessaires à la finalité impliquant une telle communication. Il s’agit notamment des prestataires suivants :
- sous-traitants techniques (hébergement, plateformes de paiement) ;
- avocats, auxiliaires de justice.
Les Données Personnelles peuvent être également communiquées à d’autres destinataires :
- si Factomos est contrainte de le faire (exemple : sur réquisition en provenance des autorités judiciaires, policières ou administratives) ou directement à ces autorités ;
- si le tiers dispose d’un intérêt légitime (lutte contre la fraude par exemple).
Les Données Personnelles collectées dans ce contexte ne sont en aucun cas cédées à des tiers ou transférées en dehors de l’Union Européenne.
La personne dont les Données Personnelles sont collectées par Factomos bénéficient d’un droit d’accès, de rectification, d’effacement, d’opposition, de limitation du traitement et de portabilité des Données Personnelles. Pour exercer ses droits, il doit adresser sa demande à Factomos à l’adresse suivante : Factomos, 10, rue de la Paix - 75002 Paris ou email : contact@factomos.com.
Si la personne dont les Données Personnelles sont collectées estime, après avoir contacté Factomos, que ses droits ne sont pas respectés, elle peut introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL).
Les Données Personnelles sont conservées :
- concernant les Données Personnelles traitées dans le cadre de la relation contractuelle : sous forme active pendant la durée de la relation contractuelle avec le Client, puis sous forme d’archives pendant une durée de 18 (dix-huit) mois à compter de la cessation de la relation contractuelle avec le Client ;
- concernant les Données Personnelles relatives à l’exercice des droits des personnelles concernées : Sous forme active pendant la durée nécessaire au traitement de la demande puis pendant une durée maximale de 5 ans à compter de la demande d’exercice de droits, sous forme d’archivage après le traitement de la demande.
La durée mentionnée ci-dessus est susceptible d’être prolongée en cas de litige entre Factomos et le Client/la personne concerné(e), jusqu’à la fin du litige.
2. Concernant les Données Personnelles pour lesquelles Factomos intervient en qualité de sous-traitant
2.1 Les différents types de traitements concernés
La nature et la finalité de ces traitements, le type de Données Personnelles, les catégories de personnes concernées et la durée de conservation des Données Personnelles sont détaillés ci-après :
2.1.1 Concernant les Données Personnelles
résultant de l’utilisation des services de gestion de la facturation
| Nature et Finalité du traitement | Exécution des Services, à savoir : établissement des factures du Client ou de l’utilisateur final, gestion des relances, gestion du statut des factures (payées/non payées), conservation des informations saisies ou téléchargées par le Client ou l’utilisateur final ainsi que les documents créés sur l’application web de Factomos. |
| Catégories de personnes concernées | clients du Client ou de l’utilisateur final des Services. |
| Types de donnée concernées | Données personnelles nécessaires à la gestion de la facturation du Client ou de utilisateur final, à savoir : nom, prénom, adresse, email, téléphone, produits et/ou services achetés, prix payé, date de paiement, de livraison et d’exécution, date et numéro de commande |
| Durée de conservation | sous forme active jusqu’à la suppression du compte d’utilisation des Services, puis sous forme d’archives pendant une durée supplémentaire de 18 (dix-huit) mois à compter de la suppression du compte. |
2.1.2 Concernant les Données Personnelles
collectées pour permettre l’accès aux Services aux collaborateurs/sous-utilisateurs
| Nature et Finalité du traitement | permettre au Client ou à l’utilisateur final de donner à ses collaborateurs/sous-utilisateurs un accès à son compte d’utilisation des Services. |
| Catégories de personnes concernées | collaborateurs/sous-utilisateurs du Client ou de l’utilisateur final. |
| Types de donnée concernées | Nom, prénom, adresse email des collaborateurs/sous-utilisateurs, entreprise de rattachement, type d’accès accordé, et le cas échéant, les comptes pour lesquels un accès est accordé pour les utilisateurs de la version « Expert ». |
| Durée de conservation | sous forme active jusqu’à la suppression du compte d’utilisation des Services ou jusqu’à la suppression de l’accès donné à la personne concernée par le propriétaire du compte, puis sous forme d’archives pendant une durée supplémentaire de 18 (dix-huit) mois. |
2.1.3 Concernant les Données Personnelles collectées dans le cadre du parrainage
| Nature et Finalité du traitement | Permettre à un Client de parrainer un tiers afin de lui faire connaître les Services et de bénéficier, le cas échéant, d’une remise sur son abonnement. |
| Catégories de personnes concernées | Interlocuteur chez l’entreprise parrainée. |
| Types de donnée concernées | adresse email, Client ayant parrainé l’entreprise de l’interlocuteur |
| Durée de conservation | Sous forme active pendant toute la durée pendant laquelle le compte d’utilisation des Services du client parraineur, puis sous forme d’archives pendant une durée supplémentaire de 18 (dix-huit) mois. |
2.1.4 Concernant les Données Personnelles
collectées pour permettre l’accès aux Services aux bénéficiaires pour le compte desquels un Client de la version « Expert » de l’application web Factomos a souscrit un abonnement
| Nature et Finalité du traitement | Envoyer aux Bénéficiaires un lien de connexion à leur compte d’utilisation des Services. |
| Catégories de personnes concernées | Interlocuteur chez les Bénéficiaires. |
| Types de donnée concernées | Nom, prénom, adresse email, société de rattachement, identité du Client de la version « Expert » de l’application web Factomos ayant souscrit l’abonnement pour le compte du Bénéficiaire. |
| Durée de conservation | Les Données Personnelles sont conservées sous forme active jusqu’à la suppression du compte, puis sous forme d’archives pendant une durée supplémentaire de 18 (dix-huit) mois à compter de la suppression du compte d’utilisation des Services. |
2.1.5 Concernant les Données Personnelles
de prospects pour lesquelles un Client de la version « Expert » de l’application web a demandé à Factomos d’envoyer une invitation à utiliser ses Services
| Nature et Finalité du traitement | Permettre à Factomos d’envoyer aux prospects une invitation à utiliser les Services. |
| Catégories de personnes concernées | Interlocuteur chez les prospects. |
| Types de donnée concernées | Nom, prénom, adresse email, société de rattachement. |
| Durée de conservation | Si le prospect n’a pas souscrit d’abonnement, les Données Personnelles sont conservées pendant une durée de 45 (quarante-cinq) jours sous forme active à compter de l’envoi du lien lui permettant de se connecter à son compte d’utilisation des Services puis, sous forme d’archives, pendant une durée supplémentaire de 18 (dix-huit) mois. Si le prospect a finalement souscrit un abonnement, les Données Personnelles sont conservées sous forme active jusqu’à la suppression du compte, puis sous forme d’archives pendant une durée supplémentaire de 18 (dix-huit) mois. |
2.2 Engagements de Factomos et de l’utilisateur
Au regard de ces Données Personnelles, Factomos et l’utilisateur s’engagent à respecter les lois et réglementations en matière de Données Personnelles.
L’utilisateur, en sa qualité de responsable de traitement des Données Personnelles collectées, autorise Factomos, qui est le sous-traitant du traitement de ces Données Personnelles, à traiter pour son compte et conformément à ses instructions les Données Personnelles nécessaires dans le seul objectif de l’exécution des Services.
Factomos ne disposera sur les Données Personnelles que d’un droit d’usage temporaire et strictement limité aux seules et uniques fins d’exécution des Services.
Factomos ne pourra accéder aux Données Personnelles ou les utiliser que dans la mesure où cela s’avère nécessaire dans le cadre de l’exécution des Services et sous réserve que cet accès ou cette utilisation se limite au strict nécessaire pour exécuter les Services.
Factomos s’interdit par conséquent d’utiliser les Données Personnelles à d’autres fins et de divulguer, sans accord préalable de l’Utilisateur, les Données Personnelles à des tiers, pour quelque raison que ce soit.
Factomos s’engage à garantir la confidentialité des Données Personnelles traitées pour le compte de l’utilisateur.
Factomos s’assurera que l’accès aux Données Personnelles est restreint aux membres du personnel ayant besoin d’accéder aux Données Personnelles pour fournir les Services et s’assurera que lesdits membres du personnel :
- sont juridiquement tenus à des obligations contractuelles de confidentialité, de protection des Données Personnelles et de sécurité au moins aussi restrictives que celles contenues dans la présente Politique relatives aux Données Personnelles ;
- sont sensibilisés aux lois et règlementations applicables en matière de protection des Données Personnelles ;
- ne traiteront des Données Personnelles que sur instructions de l’utilisateur.
Factomos s’engage en outre à mettre en place et maintenir une sécurité optimale tant physique, sur son centre de traitement des Données Personnelles, en termes notamment d’accès autorisé, que logique, au niveau de l’infrastructure informatique et des réseaux, et ce notamment afin de s’assurer que les Données Personnelles seront conservées sans qu’il puisse y être porté atteinte d’une quelconque façon (notamment, destruction fortuite ou illicite, perte fortuite, toute forme illicite de traitement, déformation, données endommagées ou communiquées à des personnes non autorisées, utilisation détournée ou frauduleuse des Données Personnelles).
Factomos s’engage notamment à mettre en œuvre les procédures de sécurisation et de prévention suivantes :
- empêcher toute intrusion extérieure non autorisée aux Données Personnelles ;
- mettre en œuvre l'ensemble des moyens techniques de nature à assurer la sécurité des Données Personnelles, notamment par l'utilisation de firewall, empêchant toute intrusion quel que soit sa nature et la technique employée d'utilisateurs non autorisés, ou de codes d’accès hautement sécurisés ;
- mettre en œuvre les moyens de sécurité physiques requis comme la sécurisation du local ;
- n’affecter que du personnel qualifié et sensibilisé aux procédures de sécurité ;
- de restreindre l’accès aux Données Personnelles aux seules personnes autorisées ou habilitées à cet effet.
Factomos procèdera à des tests réguliers des mesures de sécurité afin d’évaluer leur efficacité.
Malgré ces mesures pour protéger les Données Personnelles, aucune technologie de transmission ou de stockage est infaillible. Ainsi, Factomos et l’utilisateur s’engagent mutuellement à se notifier immédiatement toute violation (faille de sécurité) de Données Personnelles dès qu’ils en auront connaissance.
La notification ainsi adressée devra préciser :
- les catégories et le nombre de personnes concernées ;
- les catégories et le nombre d’enregistrement de Données Personnelles concernés ;
- les conséquences probables de la violation ;
- toutes mesures prises pour atténuer et gérer la violation.
Factomos prendra des mesures pour atténuer les effets et minimiser tout préjudice résultant de toute violation de Données Personnelles et respecter toutes instructions données par l’utilisateur relativement à cette violation.
Factomos coopérera avec l’utilisateur, assistera ce dernier et mettra à sa disposition toutes informations requises permettant de démontrer le respect des obligations énoncées dans la présente politique relative aux Données Personnelles, à la demande de l’utilisateur.
L’utilisateur pourra procéder à des audits ainsi que réaliser des tests de sécurité afin de vérifier le respect par Factomos des obligations de la présente Politique relative aux Données Personnelles. L’utilisateur devra préalablement notifier à Factomos, au moins 30 (trente) jours ouvrés à l’avance, le jour de la réalisation de l’audit, le nom de l’auditeur ainsi que les conditions de réalisation de l’audit. Factomos pourra s’opposer au choix de l’auditeur retenu par l’utilisateur. Factomos proposera alors trois sociétés d’audit reconnues et indépendantes auxquelles l’utilisateur pourra avoir recours pour réaliser cet audit.
L’utilisateur communiquera à Factomos les comptes rendus des résultats des audits et tests de sécurité. Si des failles de sécurité identifiées comme critiques sont décelées par l’utilisateur, Factomos s’engage à les corriger dans les délais définis par les Parties en fonction du degré de criticité. L’utilisateur réalisera de nouveaux tests afin de s’assurer que les failles ont bien été corrigées.
Factomos ne pourra pas transférer des Données Personnelles en dehors de l’Union Européenne.
Factomos ne pourra engager de sous-traitant pour traiter les Données Personnelles que si :
- le sous-traitant est lié par un contrat écrit exigeant une protection des Données Personnelles au moins aussi restrictive que celle de la présente Politique relatives aux Données Personnelles ;
- l’utilisateur a le droit d’auditer le sous-traitant ou de lui donner des instructions ;
- Factomos est pleinement responsable, vis-à-vis de l’utilisateur, de l’exécution des obligations du sous-traitant en matière de protection des Données Personnelles ;
- Factomos accepte, sur demande, de fournir une copie des mentions relatives à la protection des Données Personnelles stipulées dans son contrat écrit conclu avec le sous-traitant.
Par les présentes, l’utilisateur autorise expressément Factomos à faire appel aux sous-traitants de la liste consultable à cette adresse en
cliquant ici.
Dans l’hypothèse où l’utilisateur s’opposerait à un sous-traitant actuel ou futur de la liste, Factomos ne serait plus en mesure d’assurer les Services pour cet utilisateur.
Si Factomos considère qu’une instruction de l’utilisateur constitue une violation des lois et réglementations en matière de Données Personnelles, il en informe immédiatement l’utilisateur.
Lorsque les personnes concernées exercent auprès de Factomos des demandes d’exercice de leurs droits à savoir, le droit d’accès, de rectification, d’effacement, d’opposition, de limitation du traitement et de portabilité des Données Personnelles, Factomos s’engage à adresser ces demandes dès réception à l’utilisateur.
A la demande de l’utilisateur, Factomos devra lui fournir une assistance afin de :
- répondre aux demandes de personnes dont les Données Personnelles ont été traitées ;
- répondre aux demandes de renseignements de toute autorité de contrôle;
- notifier une violation de Données Personnelles aux personnes concernées ou aux autorités de contrôle ;
- conduire des analyses d’impact relatives à la protection des Données Personnelles ;
dans chaque cas, dans la mesure où ces actions sont liées à l’exécution des Services.
Factomos s’engage à aider l’utilisateur dans le cadre du respect de ses obligations visées par les lois et réglementations en matière de Données Personnelles, et notamment il met à la disposition de l’utilisateur toute la documentation nécessaire pour démontrer le respect de toutes ses obligations.
Factomos s’engage à tenir un registre de tout traitement de Données Personnelles qu’il effectue pour le compte de l’utilisateur.
Factomos s’engage, avec une obligation de résultat, à faire respecter toutes les mesures énoncées ci-avant par son personnel, ses sous-traitants et de manière générale à tout tiers intervenant à sa demande.
L’utilisateur s’engage pour sa part à :
- limiter les Données Personnelles communiquées à Factomos dans le cadre de l’utilisation des Services à ce qui est strictement nécessaire ;
- s’assurer de la licéité du traitement des Données Personnelles ;
- s’assurer de l’autorisation des personnes concernées pour la transmission à Factomos et à ses sous-traitants/prestataires de leurs les Données Personnelles dans le cadre l’exécution des Services.
- assurer aux personnes concernées la possibilité d’exercer leurs droits sur leurs Données Personnelles (droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, doit d’introduire une réclamation auprès de la CNIL) ;
- fournir à Factomos les instructions nécessaires au traitement des Données Personnelles.
3. Liste de sous-traitants
Stripe
: (pour les paiement en ligne de l’abonnement et des factures)
Siège social : 10 Bd Haussmann, 75009 Paris.
DPO :
dpo@stripe.com
GoCardLess : (pour les paiement en ligne de l’abonnement et des factures)
Siège social : 7 rue de madrid, 75008 PARIS
Téléphone : +33 1 70 37 71 23 et email : france@gocardless.com
GoCardless et RGPD
SQUARK : (hébergement des données)
Siège social : 5 Passage de l’industrie, 92130 Issy-Les-Moulineaux
