Politique générale de protection des données à caractère personnel

Le respect de la vie privée et de la protection des données à caractère personnel constitue un facteur de confiance, valeur à laquelle tient particulièrement SumDigi, en s’attachant au respect des libertés et droits fondamentaux.

 

La présente politique témoigne des engagements mis en œuvre dans le cadre des activités quotidiennes pour une utilisation responsable des données personnelles au sein de notre entreprise.

 

La présente politique générale de protection des données s’adresse à la fois :

  • Aux Bénéficiaires des services de SumDigi

  • Aux professionnels, partenaires de SumDigi

  • Aux personnes physiques clientes ou prospects de SumDigi

  • Aux salariés de SumDigi

  • Aux candidats souhaitant rejoindre SumDigi

  • Aux internautes naviguant sur le site sumdigi.com et les réseaux sociaux de SumDigi

 

Cette Politique s’inscrit dans le cadre des dispositions du Règlement (UE) 2016/679 (« Règlement Général sur la Protection des Données » ou « RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés.

Définitions utiles

« Donnée personnelle » : Toute information identifiant directement ou indirectement une personne physique (ex : nom, n° d’immatriculation, n° de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…) ;

 

« Traitement » : Toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction) ;

 

« Personne concernée » : Personne physique concernée par un traitement de ses données personnelles ;

 

« Responsable du/de traitement » : Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ;

 

« Sous-traitant » : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

 

« Violation de données à caractère personnel » : Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ;

Délégué à la Protection des Données (DPO)

Afin de préserver la vie privée et la protection des données à caractère personnel de tous, SumDigi a désigné un « Délégué à la Protection des Données » ou « Data Protection Officer » (DPO). Le DPO exerce ses missions en toute indépendance et pour l’ensemble des services de l’entreprise.

 

Le DPO est un gage de confiance. C’est l’interlocuteur spécialisé dans la protection des données personnelles. Il est chargé de veiller à la bonne application des règles de protection des données et est l’interlocuteur privilégié auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL). Il est le référent auprès de toutes personnes concernées par une collecte ou un traitement de données à caractère personnel.

 

Pour toutes questions, vous pouvez contacter notre DPO par mail à rgpd@sumdigi.com ou bien par courrier à l’adresse suivante :

 

SumDigi

19 Avenue du Pré de Challes

74940 Annecy le Vieux

Données collectées et traitées

Dans le cadre de ses activités, SumDigi est amenée à collecter certaines données personnelles des personnes concernées comme ses clients, ses prospects, ses salariés ou bien ses stagiaires via divers biais : site internet, collecte directe, mails, etc….

 

SumDigi ne collecte ces informations qu’avec votre consentement ou conformément à ses obligations légales et réglementaires :

 

Via le site internet (contact, newsletter, recrutement)

  • Mail

  • Nom

  • Prénom

  • Téléphone

  • Adresse postale (via CV et Lettre de motivation)

  • Age (via CV et Lettre de motivation)

  • Sexe (via CV et Lettre de motivation)

  • Cookies

 

Via les missions, les prestations et la gestion des salariés de SumDigi

  • Nom

  • Prénom

  • Téléphone

  • Mail

  • Numéro de sécurité sociale

  • RIB

  • Adresse Postale

  • Date de naissance

  • Lieu de naissance

  • Nationalité

  • Situation Familiale

  • Copie des pièces d’identité (carte d’identité, passeport, permis de conduire, titre de séjour)

  • Catégorie socio-professionnelle

  • Tranche de revenus

  • Pays de résidence fiscale

  • Copie du livret de famille

  • Extrait d’acte de naissance

  • Données de connexion des clients sur les outils informatiques et les sites utilisés dans le cadre des missions proposées par SumDigi.

 

En plus de ces informations, SumDigi peut être amené à vous solliciter pour collecter des données complémentaires en fonction du type de prestation réalisées.

Utilisation des données à caractère personnel (bases juridiques et finalité)

Conformément à la réglementation applicable, l’ensemble des traitements effectués par SumDigi répond à des finalités déterminées, explicites et légitimes. 

 

SumDigi collecte et traite des données à caractère personnel, selon le cas :

  • pour les besoins de l’exécution du contrat conclu avec nos clients ou de mesures pré-contractuelles prises à la demande de ces derniers ;

  • aux fins des intérêts légitimes poursuivis par notre cabinet, tels que la prévention de la fraude, la prospection et l’animation, la gestion de la relation avec ses clients et prospects, l’organisation, l’inscription et l’invitation aux événements de l'entreprise ;

  • afin de respecter ses obligations légales et réglementaires, notamment en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme ;

  • sur la base du consentement des personnes physiques concernées.

 

Dans l’hypothèse où la personne physique, dont les données à caractère personnel font l’objet d’un traitement par notre cabinet, s’est opposée à un tel traitement, SumDigi peut néanmoins être autorisé à réaliser ou poursuivre ledit traitement sur l’une des autres bases juridiques susvisées.

 

Notre entreprise collecte et traite des données à caractère personnel pour les finalités suivantes :

 

Les finalités contractuelles

  • Conclusion et exécution des Conditions Générales d’utilisation des sites et applications mobiles de SumDigi et de ses partenaires

  • Conclusion et exécution de toute autre mission confié contractuellement par des clients

 

Finalités légales et réglementaires

  • Évaluation et gestion du risque afin de remplir les obligations légales ou réglementaires

  • Sécurité et prévention de la fraude

  • Lutte contre le blanchiment de capitaux et le financement du terrorisme

 

Finalités légitimes

  • Etablissement de preuves

  • Mise en place d’actions commerciales, marketing et statistiques

 

 

Pour certain de ses traitements, et conformément à l’article 7 du Règlement Général pour le Protection des Données à caractère personnel, SumDigi demande le consentement aux personnes concernées.

 

Nous utilisons par ailleurs des cookies afin de faciliter et accélérer votre navigation Web. Les cookies sont des fichiers textes stockés temporairement ou définitivement sur votre ordinateur. Ils permettent de reconnaître vos habitudes de connexion et de charger vos pages plus rapidement.

Responsabilités

Traitements à l’égard desquels Alter Conseil est le responsable de traitements

 

SumDigi agit selon les traitements de données personnelles qu’il effectue en qualité de responsable du traitement, de responsable conjoint ou de sous-traitant.

 

La qualification de l’un ou l’autre statut est fonction de la marge de manœuvre dont dispose SumDigi dans la détermination des finalités et des moyens des traitements qu’il effectue, au regard, le cas échéant, du contrat qui le lie au Client, mais également de la situation de fait encadrant le traitement des données personnelles et notamment de la catégorie de personne concernée par ledit traitement.

 

SumDigi est à titre d’exemple responsable des traitements effectués à partir des données prospects à des fins de prospection commerciale. De même, l'entreprise est responsable des traitements effectués à partir de données client pour la gestion interne des dossiers, la gestion de la facturation ou encore l’amélioration de la qualité de nos services.

 

Les lois françaises en matière de protection des données régissent la collecte des données par SumDigi. Conformément au principe de Privacy by Design (respect de la vie privée dès la conception), toute nouvelle mise en place de traitement et/ou tout recours à un nouveau sous-traitant – préposé au traitement de vos données personnelles – font l’objet d’une étude attentive sur les éventuels impacts que ceux-ci pourraient avoir sur les droits et libertés des personnes concernées.

 

En tant que responsable de traitement, SumDigi s’assure que ses sous-traitants appliquent les mesures de sécurité physiques, techniques et organisationnelles nécessaires, pertinentes et raisonnables en vue de garantir la protection des données que nous collectons. Les garanties de l’adoption de ces mesures de la part du sous-traitant peuvent être obtenues via contrat, mais aussi par la constatation de l’adoption par celui-ci d’un code de conduite, de certifications ou de règles d’entreprise contraignantes.

 

Traitements à l’égard desquels le Client est le responsable de traitements

 

Le client est responsable des traitements mis en œuvre dans son intérêt, en son propre nom et pour son propre compte. Le principal critère retenu pour établir la responsabilité du client à l’égard d’un traitement est sa capacité juridique et organisationnelle, ainsi que son autonomie à définir les finalités et les moyens du traitement.

 

Par exemple, et sans s’y limiter, le Client définit les finalités des traitements de données personnelles lorsqu’il mandate SumDigi pour former son personnel à la Cyber-sécurité, pour assister ses collaborateurs dans l'utilisation des outils informatiques ou bien encore pour gérer ses réseaux sociaux. Le Client est de même décideur en dernière instance des moyens mis en œuvre pour le traitement des données personnelles qu’il confie à SumDigi.

 

Les traitements de données personnelles du Client ou de toute autre personne physique concernée (salariés et/ou associés du Client) dans le cadre de finalités et de moyens définis par le Client sont effectués par SumDigi en qualité de sous-traitant, et ce, pour le compte du Client.

 

Sous-traitant et destinataires

SumDigi communique ou est susceptible de communiquer les données collectées aux personnes ou entités suivantes :

  • Les membres autorisés de son personnel ;

  • Les autres sociétés du groupe auquel appartient notre cabinet ;

  • Nos sous-traitants ;

  • Notre expert-comptable ;

  • Les autorités de contrôle (régulateurs), autorités administratives, juridictions ;

 

Notre entreprise ne transfère aucune donnée à caractère personnel collectée en dehors de l’Union européenne.

 

Les données personnelles des personnes concernées pourront être communiquées aux établissements habilités à fournir des services de l’état comme les impôts, les caisses, etc. et soumis au secret professionnel.

 

Afin de satisfaire les finalités définies pour ses salariés et/ou contractualisées par ses clients, SumDigi fait appel à des sous-traitants. La liste des sous-traitants du cabinet :

  • Alter-Conseil ;

SumDigi a conclu avec ces sous-traitants et prestataires des contrats comportant des dispositions dédiées à la protection des données personnelles des personnes concernées, à leur sécurité et leur confidentialité.

 

SumDigi pourra être tenu de communiquer des données personnelles à des autorités publiques, administratives ou judiciaires. Dans ce cas, seules les informations demandées par ces autorités seront fournies et dans le strict respect des dispositions légales et réglementaires en vigueur.

Sécurité des données

SumDigi a mis en œuvre des Politiques de Protection des Systèmes d’Information (PSSI) adaptées à la nature des données traitées afin de garantir leur intégrité, leur confidentialité ainsi que leur disponibilité.

 

SumDigi exige également de tout sous-traitant qu’il présente des garanties appropriées pour assurer la sécurité et la confidentialité des données personnelles.

Durée de conservation des données

SumDigi ne conserve les données personnelles des personnes concernées que pour répondre aux finalités et ne pourra conserver les données que pour satisfaire à des obligations légales ou réglementaires. Les durées et conditions appliquées par SumDigi et décrites ci-dessous sont celles prévues par les lois ou règlements et recommandées par la CNIL.

Droits des personnes concernées

Droits d’accès et d’information

 

Conformément à l’article 15 du Règlement Général pour le Protection des Donnée à caractère personnel, les personnes concernées disposent d’un droit d’accès et d’informations à l’égard des données personnelles que traite SumDigi.

 

Sur demande de la part du client, SumDigi informe du motif pour lequel il traite ses données personnelles, de la nature des informations personnelles que l'entreprise détient à son sujet, des personnes qui reçoivent ses informations personnelles et de la durée de conservation de ses données.

 

Droit de rectification 

 

Conformément à l’article 16 du Règlement Général pour le Protection des Donnée à caractère personnel, les personnes concernées disposent d’un droit de rectification à l’égard des données personnelles que traite SumDigi.

 

Le client peut faire savoir si une des informations personnelles que SumDigi, en tant que responsable du traitement des données, traite à son sujet est incorrecte ou trompeuse afin de la rectifier. Le client doit toutefois vérifier à ce que sa demande prenne en compte les conditions d’exercice de ce droit, énumérées à l’article 15 du règlement.

 

Droit d’opposition

 

Conformément à l’article 21 du Règlement Général pour le Protection des Donnée à caractère personnel, les personnes concernées disposent d’un droit d’opposition à l’égard des données personnelles que traite SumDigi.

 

Le client dispose d’un droit d’opposition au traitement de ses données personnelles, en particulier pour les traitements effectués par l'entreprise à des fins de prospection commerciale. Le client doit toutefois vérifier à ce que sa demande prenne en compte les conditions d’exercice de ce droit, énumérées à l’article 21 du règlement.

 

Droit à l’effacement

 

Conformément à l’article 17 du Règlement Général pour le Protection des Donnée à caractère personnel, les personnes concernées disposent d’un droit à l’effacement (ou droit à l’oubli) à l’égard des données personnelles que traite SumDigi. 

 

Ce droit consiste à demander l’effacement de tout ou une partie des données à caractère personnel traitées. Le client doit toutefois vérifier à ce que sa demande prenne en compte les conditions d’exercice de ce droit, énumérées à l’article 17 du règlement.

 

Droit à la limitation du traitement

 

Conformément à l’article 18 du Règlement Général pour le Protection des Donnée à caractère personnel, les personnes concernées disposent d’un droit à la limitation du traitement à l’égard des données personnelles que traite SumDigi. 

 

Ce droit consiste à suspendre le traitement des données à caractère personnel. Le client doit toutefois vérifier à ce que sa demande prenne en compte les conditions d’exercice de ce droit, énumérées à l’article 18 du règlement.

 

Droit à la portabilité

 

Conformément à l’article 20 du Règlement Général pour le Protection des Donnée à caractère personnel, les personnes concernées disposent d’un droit à la portabilité à l’égard des données personnelles que traite SumDigi. 

 

Les personnes concernées ont le droit de recevoir leurs données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine afin de les transmettre à un autre responsable de traitement. Le client doit toutefois vérifier à ce que sa demande prenne en compte les conditions d’exercice de ce droit, énumérées à l’article 20 du règlement.

 

Droit au refus de décisions individuelles automatisées, y compris le profilage

 

Conformément à l’article 22 du Règlement Général pour le Protection des Donnée à caractère personnel, les personnes concernées disposent d’un droit au refus de décisions individuelles automatisées à l’égard des données personnelles que traite SumDigi. 

 

La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. Le client doit toutefois vérifier à ce que sa demande prenne en compte les conditions d’exercice de ce droit, énumérées à l’article 20 du règlement.

Exercice des droits

Si vous êtes concerné par un traitement de vos données personnelles et que vous souhaitez exercer l’un de vos droits énumérés dans le chapitre précèdent, merci de nous adresser votre demande par courrier électronique à rgpd@sumdigi.com ou par voie postale à SumDigi – Service RGPD – 19 avenue du Prè de Challes – 74940 – Annecy-le-Vieux. 

 

Sachez que nous pouvons refuser le traitement de ces demandes (article 12.5 RGPD) si celles-ci sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif.

 

Sous réserve de l’inexécution par SumDigi de ses obligations, vous disposez d’un droit d’introduire une réclamation auprès de la CNIL, autorité de contrôle compétente en matière de protection des données personnelles.

Notification d’une violation de données personnelles

SumDigi s’engage à prendre toutes les mesures pertinentes et adéquates en vue d’éviter toute violation de données personnelles. Cette obligation de moyens n’exclue cependant pas la survenance éventuelle d’une violation de données personnelles. Le cas échéant, et conformément à l’article 33 du RGPD, SumDigi s’engage à notifier la violation en question à la CNIL dans les meilleurs délais et, dans la mesure du possible, 72h au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.

 

Ce devoir de notification à l’autorité de contrôle pourra être assorti d’une communication à la personne concernée selon les dispositions de l’article 34 du RGPD.

Mise à jour

Cette politique peut être mise à jour à tout moment, aussi nous vous conseillons de la consulter régulièrement.