1. CHAMP D’APPLICATION
Clestra s’engage à se conformer au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la loi informatique et liberté du 20 juin 2018.
L’accès aux données personnelles est strictement limité aux employés et préposés de l’entreprise, habilités à les traiter en raison de leurs fonctions tel que :
- le responsable du traitement,
- les services en charge du marketing,
- les services en charge de la sécurité informatique,
- le service en charge de la vente et des achats, de la livraison et de la commande,
- les sous-traitants intervenants dans les opérations de livraison, montage et de vente
- le service juridique
- le service financier
- toute autorité légalement autorisée à accéder aux données personnelles en question
Clestra met en place un traitement des données personnelles qui a pour finalité la vente et la livraison, construction et montages cloisons amovibles et tout achat visant à la réussite de cette destination. Les informations personnelles collectées via les devis sont enregistrées dans un fichier client et principalement utilisées pour la bonne gestion des relations avec le fournisseur/client et le traitement des commandes.
Les informations demandées lors de la commande sont nécessaires à
- pouvoir contacter le fournisseur/client,
- prospection commerciale le cas échéant,
- assurer l’exécution de nos prestations,
- l’établissement de la facture (obligation légale),
- respecter nos obligations légales,
- la livraison des biens commandés, sans quoi la commande ne pourra pas être passée.
Aucune décision automatisée ou profilage n’est mis en œuvre au travers du processus de commande.
2. OBLIGATIONS DE CLESTRA
Clestra s’engage à :
- traiter les Données à caractère personnel référencées par le fournisseur/client dans le cadre de ses activités uniquement dans la mesure où elles sont nécessaires à son activité.
- ne pas accéder ou utiliser des Données à caractère personnel à d’autres fins que celles nécessaires à l’exécution de son activité.
- mettre en place les mesures techniques et organisationnelles, afin d’assurer la sécurité des Données à caractère personnel dans le cadre du Service,
- s’assurer que les employés de Clestra autorisés à traiter les Données à caractère personnel sont soumis à une obligation de confidentialité et reçoivent une formation appropriée concernant la protection des Données à caractère personnel,
- informer le fournisseur/client si, à son avis et compte tenu des informations dont il dispose, une des instructions de CLESTRA enfreint les dispositions du RGPD ou d’autres dispositions de l’Union européenne ou d’un État membre de l’Union européenne en matière de protection des données personnel,
- dans le cas de demandes reçues d’une autorité compétente et relatives aux Données à caractère personnel , à informer le fournisseur/client (à moins que les lois applicables ou l’injonction d’une autorité compétente ne l’interdisent), et à limiter la communication des données à ce que l’autorité a expressément demandé.
Clestra s’engage à mettre en place les mesures de sécurité techniques et organisationnelles suivantes :
- des mesures de sécurité physique destinées à empêcher les personnes non autorisées d’accéder à l’infrastructure dans laquelle les données du fournisseur/client sont stockées,
- des contrôles d’identité et d’accès au moyen d’un système d’authentification et d’une politique en matière de mots de passe,
- un système de gestion des accès qui limite l’accès aux locaux, aux personnes ayant besoin d’y accéder dans l’exercice de leurs fonctions et dans le cadre de leurs responsabilités,
- du personnel de sécurité chargé de surveiller la sécurité physique des locaux De Clestra,
- un système qui isole physiquement et/ou de façon logique les fournisseur/client les uns des autres ,
- des processus d’authentification des utilisateurs et des administrateurs, ainsi que des mesures visant à protéger l’accès aux fonctions d’administration,
- des processus et des mesures de suivi des actions effectuées sur son système d’information.
3. ATTEINTES À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
Si CLESTRA a connaissance d’un incident affectant les Données à caractère personnel du Responsable du traitement (accès non autorisé, perte, divulgation ou altération de données), CLESTRA en informe lefournisseur/client dans les meilleurs délais.
La notification doit
- décrire la nature de l’incident,
- décrire les conséquences probables de l’incident,
- décrire les mesures prises ou proposées par CLESTRA en réponse à l’incident et
- préciser qui est l’interlocuteur chez CLESTRA.
4. LOCALISATION ET TRANSFERT DES DONNÉES À CARACTÈRE PERSONNEL
Sous réserve de la disposition précédente relative à la localisation des Datacenters, les Sociétés Apparentées de CLESTRA situées dans l’Union européenne, au Canada et dans tout autre pays reconnus par l’Union européenne comme assurant un niveau de protection adéquat des Données à caractère personnel (« Décision d’adéquation« ), sont autorisés à traiter les Données à caractère personnel uniquement dans le cadre de l’exécution du futur contrat, et en particulier, dans le cadre de la gestion des Incidents. La liste des Sociétés Apparentées susceptibles de participer à l’exécution des contrats est communiquée sur le site dans la rubrique « où nous trouver » puis « filiale et représentation ».
Dans le cas où les Données à caractère personnel traitées en vertu des présentes sont transmises hors de l’Union européenne vers un pays qui ne fait pas l’objet d’une Décision d’adéquation, un accord de transfert de données conforme aux clauses contractuelles types adoptées par la Commission européenne ou, à la discrétion CLESTRA, toute autre mesure de protection reconnue comme suffisante par la Commission européenne est mis en œuvre.
Le Responsable du traitement doit accomplir toutes les formalités et obtenir toutes les autorisations nécessaires (y compris, le cas échéant, auprès des personnes concernées et des autorités compétentes en matière de protection des données) pour transférer des données à caractère personnel.
5. SOUS-TRAITANCE
Sous réserve des dispositions de la clause « Localisation et transfert des Données à caractère personnel » ci-dessus,CLESTRA peut engager un autre sous-traitant pour traiter les Données personnelles dans le cadre de l’exécution de son activité (« Sous-traitant ultérieur »).
Le fournisseur/client autorise expressément CLESTRA à engager ses Sociétés Apparentées en tant que Sous-traitants ultérieurs. La liste des Sociétés Apparentées de CLESTRA ayant la qualité de Sous-traitants ultérieurs est disponible sur le site Internet de CLESTRA. CLESTRA s’engage à informer le fournisseur/client dans un délai de trente (30) jours avant de faire intervenir en qualité de Sous-traitant ultérieur, une nouvelle Société Apparentée.
Sous réserve des dispositions contraires des Conditions de service applicables, CLESTRA ne fait pas intervenir, sans le consentement préalable du fournisseur/client, un Sous-traitant ultérieur n’ayant pas la qualité de Société Apparentée d CLESTRA (« Sous-traitant ultérieur tiers »).
Clestra veille à ce que le Sous-traitant ultérieur soit, au minimum, en mesure de remplir les obligations mises à la charge de CLESTRA concernant le traitement des Données à caractère personnel. À cette fin, CLESTRA conclut un accord avec le Sous-traitant ultérieur.
Clestra s’engage à ne pas vendre, céder, donner accès à des tiers les données sans consentement préalable du fournisseur/client, à moins d’y être contraint par un motif légitime (obligation légale, lutte contre la fraude ou l’abus, exercice des droits de la défense ect)
Nonobstant ce qui précède, CLESTRA est expressément autorisé à engager des fournisseurs tiers (tels que des fournisseurs d’énergie, des fournisseurs de réseaux, des gestionnaires de points d’interconnexion de réseaux ou des datacenters, des fournisseurs de matériel et de logiciels, des transporteurs, des fournisseurs techniques, des sociétés de sécurité), sans devoir informer le fournisseur/client ou obtenir son autorisation préalable, à condition que ces fournisseurs tiers n’aient pas accès aux Données à caractère personnel.
6. OBLIGATIONS DU FOURNISSEUR/CLIENT ET DU RESPONSABLE DU TRAITEMENT
Pour le traitement des Données à caractère personnel, le fournisseur/client doit fournir à CLESTRA par écrit
– toute instruction pertinente et
– toute information nécessaire à la création du registre des activités de traitement du sous-traitant. Le fournisseur/client reste seul responsable du traitement des informations et instructions communiquées à CLESTRA.
Le Responsable du traitement à la responsabilité de s’assurer que :
- le traitement des Données personnelles du Responsable du traitement dans le cadre de l’exécution du service à une base juridique appropriée tel que :
- le consentement du fournisseur/client ou de l’acheteur
- la bonne exécution du futur contrat
- d’une obligation légale.
- toutes les procédures et formalités requises ont été effectuées,
- la personne concernée est informée du traitement de ses Données à caractère personnel de façon concise, transparente, intelligible et facilement accessible, en utilisant un langage clair et simple, comme le prévoit le RGPD,
- les personnes concernées sont informées et ont à tout moment la possibilité d’exercer facilement les droits relatifs aux données prévus par le RGPD directement auprès du fournisseur/client ou du Responsable du traitement.
Le fournisseur/client est responsable de la mise en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des ressources, systèmes, applications et opérations qui ne relèvent pas du périmètre de responsabilité d CLESTRA.
7. DROIT DES PERSONNES CONCERNÉES
Le Responsable du traitement est pleinement responsable de l’information des personnes concernées concernant leurs droits et le respect de ces droits. Conformément à la loi « informatique et libertés et du règlement n 2016/679/UE du 27 avril 2016 le fournisseur/client bénéficie des droits d’accès, de rectification, d’effacement, de limitation ou de portabilité.
CLESTRA a un devoir de coopération et d’assistance, dans la mesure où cela est raisonnablement nécessaire, pour répondre aux demandes des personnes concernées. Cette coopération et cette assistance raisonnable peuvent consister à
- communiquer au fournisseur/client toute demande reçue directement de la personne concernée dans la limite du secret d’affaire
- permettre au Responsable du traitement de concevoir et de déployer les mesures techniques et organisationnelles nécessaires pour répondre aux demandes des personnes concernées. Le Responsable du traitement est seul responsable des réponses à ces demandes.
Le fournisseur/client reconnaît et convient que, dans l’éventualité où une telle coopération et assistance nécessiterait des ressources importantes de la part de CLESTRA, cela pourra être facturé au fournisseur/client à condition de le lui notifier et d’obtenir son accord au préalable.
8. SUPPRESSION ET RESTITUTION DES DONNÉES À CARACTÈRE PERSONNEL
Le fournisseur/client peut demander l’effacement ou restitution des données personnelles sauf dans les cas du :
- Secret d’affaire
- De l’intervention d’un tiers
- Du délai légal de prescription commercial (5 ans)
9. AUTORITÉ COMPÉTENTE ET PLAINTE
Nonobstant ce qui précède, le fournisseur/client est autorisé à répondre aux demandes de l’autorité de contrôle compétente à condition que toute divulgation d’informations soit strictement limitée à ce qui est demandé par ladite autorité. Dans un tel cas, et à moins que la loi applicable ne l’interdise, le fournisseur/client doit d’abord consulter CLESTRA au sujet de toute divulgation requise.
10. PRESCRIPTION COMMERCIALE
Les données seront conservées durant l’exécution du futur contrat et les 10 années suivantes.
Clestra peut conserver des données plus longtemps dans le cadre d’une obligation légale ou réglementaire.
Pour toutes questions ou requêtes concernant vos données personnelles, vous pouvez contacter Damien Lambert Délégué des données personnelles par email d.lambert@clestra.com