Gestion des Données à caractère personnel
Version de Février 2021.
La présente Politique de gestion est éditée par la Société iilyo immatriculée au Registre du Commerce et des Sociétés de LYON sous le numéro 797 605 359, dont le siège social se situe 33 Place Bellecour 69002 LYON (ci-après « iilyo »).
Elle a pour objet d’informer les utilisateurs du Site et des services iilyo et Hopla.cloud des traitements de données à caractère personnel mis en oeuvre par iilyo ainsi que de leurs droits en tant que personnes concernées par ces traitements.
Dans ce cadre iilyo agit en qualité de Responsable de traitement ou dans certains cas de Sous-traitant de données à caractère personnel.
Notre politique de gestion des données à caractère personnel s’inscrit dans le cadre légal et réglementaire applicable à la protection de telles données, notamment les dispositions du Règlement UE 2016/679 sur la protection des données du 27 avril 2016 (RGPD) et celles de la loi n°78-17 du 6 janvier 1978 modifiée.
Elle est révisée régulièrement pour s’adapter aux évolutions légales et réglementaires en matière de protection des données à caractère personnel et pour intégrer les traitements mis en place par nos soins.
Quelques définitions
- Responsable de traitement : la personne morale qui détermine les finalités et les moyens du traitement.
- Donnée(s) à Caractère Personnel ou Donnée(s) : toute information permettant d’identifier une personne physique identifiée, directement ou indirectement (ex : nom, prénom, adresse courriel…)
- Traitement de Données à Caractère Personnel ou Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqué(s) à des Données ou des ensembles de Données à Caractère Personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification…
Sous-traitant de Données à caractère personnel : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du Responsable du traitement.
iilyo en qualité de responsable de traitement
Lorsque iilyo met en œuvre les traitements de données nécessaires à la gestion de ses activités, elle agit en qualité de Responsable de traitement.
Pourquoi nous collectons des données (finalités) ?
Nous collectons les données nécessaires à notre activité. Elles nous permettent de répondre aux demandes de nos clients, de leur fournir les prestations demandées et de gérer notre activité au quotidien. Les Traitements mis en œuvre concernent principalement nos clients, nos collaborateurs et nos partenaires.
Seules les données nécessaires et pertinentes au regard des finalités du traitement sont collectées pour :
- Répondre à une demande de contact de votre part : iilyo collecte des données via le site Hopla.cloud et iilyo pour vous adresser, à votre demande, sa Newsletter ou répondre à une demande spécifique.
- Fournir les services commandés et gérer la relation client : iilyo traite les données de ses clients pour gérer leurs commandes et y répondre, établir la facturation afférente, et gérer la relation contractuelle.
- L’ouverture et l’animation du compte client : iilyo collecte et traite les données nécessaires la création et l’utilisation du compte, la gestion des commandes et l’utilisation des fonctionnalités de l’interface client.
- La gestion de vos paiements en ligne : les informations de paiement nécessaires sont traitées pour le paiement des prestations commandées en ligne avec la passerelle de paiement en carte de crédit et SEPA, opéré par la société Stripe (voir leur politique de confidentialité).
- Lutter contre la fraude : dans certains cas, iilyo peut être amenée à réaliser une vérification de l’identité de ses clients, afin de prévenir la fraude et les utilisations illicites des services ;
- Le respect de la réglementation applicable à son activité notamment son obligation de conservation des données de connexion et d’identification lorsqu’iilyo agit en qualité d’hébergeur ;
- Nos actions de prospection commerciale : pour adresser à ses clients des informations sur ses nouveaux produits, sauf opposition de leur part.
- Pour permettre l’utilisation et suivre l’activité du Site et faciliter sa navigation.
Quelles données sont concernées ?
Selon les finalités : les données collectées peuvent consister en :
- Données d’identification : Nom(s), prénom(s), adresse, fonction dans l’entreprise, coordonnées, identifiant pour accéder aux services en ligne.
- Informations d’ordre économique et financier : relatives aux prestations achetées, à la facturation, aux moyens de paiement utilisés.
- Données de connexion et d’identification : informations de connexion (identifiant, protocole…), historique d’utilisation et de connexion, données d’identification ;
- Données relatives à l’utilisation au Site (traceurs, cookies)
Bases légales des traitements
La base légale d’un traitement autorise légalement sa mise en œuvre. Parmi les six bases légales prévues au sein du Règlement UE 2016/679 (RGPD) les traitements mis en œuvre par iilyo se fondent selon le cas sur :
- Le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec vous (art. 6,1, b du Règlement (UE) 2016/679)
- Ses obligations légales et réglementaires : le traitement est imposé par des textes légaux (art. 6,1, c du Règlement (UE) 2016/679)
- Sur son intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes d’iilyo, dans le strict respect des droits et intérêts des personnes dont les données sont traitées. (art. 6,1, f du Règlement (UE) 2016/679)
Certains Traitements peuvent également être réalisés sur la base du consentement exprès de la personne concernée. (art. 6,1, a du Règlement (UE) 2016/679)
Durées de conservation
Les données sont conservées pendant la durée nécessaire aux finalités poursuivies comme indiqué ci-dessous, sous réserve de l’exercice par la personne concernée de ses droits d’opposition et d’effacement ou de l’application d’une durée de conservation plus longue s’imposant à iilyo en vertu d’une obligation légale ou réglementaire.
Destinataires des données
Les Données sont destinées aux personnels de notre société habilités à les traiter dans le cadre de leurs fonctions.
Elles peuvent être transmises à des tiers, prestataires et sous-traitants intervenant pour le compte d’iilyo dans le cadre de leur mission. Dans ce cadre les tiers n’ont qu’un accès limité aux données et sont contractuellement tenus à une obligation stricte de confidentialité et de sécurité vis-à-vis des Données transmises.
Sous réserve d’une obligation légale ou de l’acceptation expresse de la personne concernée, iilyo ne cède, ne loue ou ne transmet aucune Donnée à caractère personnel en dehors des cas susvisés.
Seule l’hypothèse de la transmission de la société iilyo et de ses droits, par quelque moyen que ce soit, permettrait le transfert des dites Données à son successeur qui serait à son tour tenu de la même obligation de conservation et de modification des données vis à vis de la personne concernée.
Tableau synthétique
Traitements concernés | Base légale | Durée de conservation |
Newsletter/contact | Exécution du contrat | Jusqu’à la désinscription de la personne concernée ou 3 ans après le dernier contact actif |
Prospection commerciale | Intérêt légitime | 3 ans après la fin des relations ou le dernier contact actif de la personne concernée |
Gestion clients | Exécution du contrat | Durée des relations commerciales puis cinq ans à compter de la fin de celle-ci |
Comptabilité | Obligation légale | 10 ans à compter de la clôture de l’exercice concerné
|
Compte utilisateurs | Obligation légale
|
5 ans en base active ou tant que le compte est ouvert. Les données sont ensuite archivées pour une durée de 5 ans
|
Données de connexion et d’identification | Obligation légale | 1 an à compter de leur création |
Sécurité des données
iilyo met en œuvre les mesures organisationnelles techniques logicielles et physiques appropriées pour préserver et garantir la sécurité, l’intégrité et la confidentialité des Données, conformément aux dispositions de la loi n°78-17 du 6 janvier 1978 modifiée, du Règlement UE 2016/679 sur la protection des données du 27 avril 2016.
Information et droits des personnes concernées
Les personnes concernées reçoivent une information circonstanciée lors de chaque collecte de Données. Cette information porte notamment sur l’identité du Responsable de traitement, la finalité du Traitement mis en œuvre, le caractère obligatoire ou facultatif des réponses et les droits dont elles disposent.
Lorsqu’il est nécessaire, le consentement de la personne concernée est expressément demandé.
Les personnes concernées disposent d’un droit d’accès aux Données les concernant et, sous réserve des conditions prévues par les dispositions applicables, d’un droit de rectification et d’effacement, d’opposition, de limitation du traitement et de portabilité de leurs Données.
Elles disposent également du droit de définir du sort de leurs Données après leur décès et du droit de retirer leur consentement à tout moment lorsque le Traitement se fonde sur celui-ci.
Exercer vos droits
Pour exercer vos droits vous pouvez nous contacter à l’adresse suivante : privacy [@] hopla.cloud
Les personnes concernées disposent également du droit d’introduire une réclamation auprès d’une autorité de contrôle notamment auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) (https://www.cnil.fr/fr).
iilyo en qualité de sous-traitant
C’est certainement en cette qualité que vos attentes envers iilyo sont les plus importantes.
iilyo agit en qualité de « sous-traitant » lorsqu’il traite des données à caractère personnel pour le compte d’un Responsable de traitement.
C’est typiquement le cas lorsque vous utilisez les services d’iilyo et stockez des données à caractère personnel sur une infrastructure iilyo.
Dans ce cadre iilyo ne traite les données à caractère personnel que sur instruction documentée du Responsable du traitement conformément aux dispositions de l’article 28 du Règlement (UE) 2016/679 du 27 avril 2016.
Les engagements de iilyo et hopla.cloud en qualité de sous-traitant
En qualité de sous-traitant, iilyo s’engage notamment à mettre en oeuvre les actions suivantes :
- Traiter les données à caractère personnel aux seules fins de la bonne exécution des services : iilyo ne traitera jamais vos informations pour d’autres finalité(s) que celles qui fait/font l’objet de la sous-traitance en vue de la réalisation des services et sur instruction documentée du Responsable de traitement.
- Garantir la confidentialité des Données à caractère personnel traitées, notamment veiller à ce que les personnes autorisées à traiter les Données confiées s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- Vous informer de tout recours à des sous-traitants qui pourraient traiter vos données à caractère personnel : à ce jour, aucune prestation impliquant un accès aux contenus stockés par vos soins dans le cadre des services n’est sous-traitée par iilyo.
- Ne pas transférer vos données hors UE sans votre autorisation préalable et dans un cadre sécurisé conformément aux exigences légales et réglementaires applicables c’est-à-dire soit lorsqu’il se fonde sur une décision d’adéquation assurant un niveau de protection adéquat dans le pays tiers, soit lorsqu’il est contractuellement encadré par des garanties appropriées au sens de l’article 46 du Règlement 2016/679.
- Mettre à votre disposition toutes les informations nécessaires pour démontrer le respect par Iilyo de ses obligations
- Mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation à nos services.
• Vous notifier dans les meilleurs délais en cas de violation de données. - Vous assister dans le respect vos obligations réglementaires notamment en vous fournissant une documentation adéquate de nos services.
Ces engagements sont concrètement retranscrits au travers des Conditions générales de vente (CGV) d’iilyo et au sein de l’annexe dédiée à la sous-traitance des données qui définit les droits et obligations de chaque partie.
Propriété des données stockées sur notre infrastructure
Vos données hébergées sur notre infrastructure sont votre bien et vous en êtes le seul propriétaire.
iilyo n’y accède et ne traite ces données que lorsque cela est nécessaire dans le cadre de l’exécution des services et dans la limite de ses contraintes techniques.
Au terme de la prestation de services relatifs au Traitement, et selon le choix du Responsable du traitement, iilyo supprimera toutes les données , à caractère personnel ou non, ou les restituera au Responsable du traitement et détruira les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel et sauf demande émise par une autorité légale, administrative ou judiciaire.
Accès aux données stockées sur notre infrastructure
iilyo accède aux données uniquement dans deux situations :
- Lors des taches de supports techniques, les accès aux données des clients restent encadrés grâce à des habilitations spécifiques et des mesures de contrôle et de sécurité particulières ;
- Afin de répondre aux obligations légales dans le cadre des demandes judiciaires et/ou administratives.
Ces demandes sont strictement encadrées.
- Accès dans le cadre du support :
Lorsque le client contacte le support iilyo, selon l’objet de l’assistance, deux catégories de données peuvent faire l’objet d’un accès. D’une part, afin de traiter au mieux la requête du client, le support prend connaissance des informations fournies par ce dernier lors de la création de son compte iilyo (nom, prénom, numéro de téléphone, adresse e-mail, etc.).
D’autre part et uniquement à la demande expresse du client, et sous réserve des contraintes techniques propres à chaque service, le support peut avoir accès aux données stockées par celui-ci sur les services iilyo, dans le but d’identifier l’origine du problème rencontré et, de le résoudre.
- Accès dans le cadre d’une demande des autorités judiciaires et/ou administratives :
Afin d’agir en conformité avec la réglementation en vigueur, iilyo est tenu de répondre aux demandes des autorités judiciaires et/ou administratives. Les demandes d’accès étant soumises à un régime légal strict, iilyo ne les autorisera qu’après s’être assuré de la validité et du bien-fondé de la requête. De plus, dès lors que la requête ou la loi ne l’interdit pas, Iilyo s’engage à prévenir le client de la demande.
Localisation des données
L’ensemble des données stockées par iilyo et hopla.cloud sont hébergées en France dans deux centres de données (datacenter) répondant aux normes TierIII, ISO 27001 et AFPAD :
Pour en savoir plus sur notre infrastructure, sur notre site internet.