La société DATAYOYO s’engage à collecter et traiter les données personnelles de ses clients conformément à la loi applicable, et notamment au Règlement Général sur la Protection des Données n°2016/679 (ci-après « le RGPD »).

L’objet de la présente politique est de vous informer des modalités de traitement par la société DATAYOYO des données personnelles que vous nous transmettez lorsque nous vous fournissons une prestation de services telle que définie aux Conditions Générales de Services et/ou des Conditions Particulières (ci-après les « Conditions de Services ») que vous avez signées avec DATAYOYO.

A ce titre, DATAYOYO agit à la fois comme sous-traitant pour le compte de votre société dans le cadre de la réalisation de la prestation de Services (Chapitre 1) et comme responsable de traitement dans le cadre de la relation commerciale qui lie DATAYOYO à votre société (Chapitre 2).

Il est expressément convenu et précisé entre les parties que la société DATAYOYO (ci-après le « Sous-traitant ») agit en tant que sous-traitant de votre société (ci-après le « Responsable de traitement ») qui est définie comme étant responsable de traitement dans le cadre de la réalisation des Conditions de Services en ce qu’elle en détermine à la fois les objectifs et les moyens de traitement.

I. Objet

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer pour le compte du Responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le RGPD.

II. Description du traitement faisant l’objet de la sous-traitance

Le Sous-traitant est autorisé à traiter pour le compte du Responsable de traitement les données à caractère personnel nécessaires pour fournir les Services tels que définis dans les Conditions de Services.
La nature des opérations réalisées sur les données est une analyse des données fournies par le Responsable de traitement et importées dans la Solution telle que définie dans les Conditions de Services.
La ou les finalité(s) du traitement sont l’Analyse des données fournies par le Responsable de traitement telle que définie dans les Conditions de Services.
Les données à caractère personnel traitées sont des données stratégiques de l’entreprise notamment liées à la gouvernance, des données liées à la gestion des ressources humaines de l’entreprise ainsi que des données fournisseurs de l’entreprise, Responsable de traitement.
Les catégories de personnes concernées sont les dirigeants, le personnel et les fournisseurs du Responsable de traitement.
Pour l’exécution du service objet du présent contrat, le Responsable de traitement met à la disposition du Sous-traitant les informations nécessaires suivantes : FEC, Grand livre.

III. Durée du contrat

Le présent contrat entre en vigueur au jour de l’acceptation des Conditions de Services jusqu’à leur résiliation.

IV. Obligations du sous-traitant vis-à-vis du responsable de traitement

Le Sous-traitant s’engage à :
1. traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance ;
2. traiter les données conformément aux instructions du Responsable de traitement documentées dans les Conditions des Services. Si le Sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Responsable de traitement. En outre, si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
3. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat ;
4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :

• s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
• reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;

5. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;
6. Sous-traitance : le sous-traitant est autorisé à faire appel à l’entité Microsoft (ci-après, le « Sous-traitant ultérieur ») pour mener les activités de traitement d’Analyse au sens des Conditions de Services. En cas de recrutement d’autres Sous-traitants ultérieurs, le Sous-traitant doit recueillir l’autorisation écrite, préalable et spécifique du Responsable de traitement. Le Sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au Sous-traitant initial de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant initial demeure pleinement Responsable devant le Responsable de traitement de l’exécution par l’autre Sous-traitant de ses obligations ;
7. Droit d’information des personnes concernées : il appartient au Responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données ;
8. Exercice des droits des personnes : dans la mesure du possible, le Sous-traitant doit aider le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du Sous-traitant des demandes d’exercice de leurs droits, le Sous-traitant doit adresser ces demandes dès réception par courrier électronique au Responsable de traitement.
9. Notification des violations de données à caractère personnel : le Sous-traitant notifie au Responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 24 heures après en avoir pris connaissance et par tout moyen. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Après accord du Responsable de traitement, le Sous-traitant notifie à l’autorité de contrôle compétente (la CNIL), au nom et pour le compte du responsable de traitement, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
La notification contient au moins :

• la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
• le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• la description des conséquences probables de la violation de données à caractère personnel ;
• la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
Après accord du Responsable de traitement, le Sous-traitant communique, au nom et pour le compte du Responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.
La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :

• la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
• le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• la description des conséquences probables de la violation de données à caractère personnel ;
• la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

10. Aide du Sous-traitant dans le cadre du respect par le Responsable de traitement de ses obligations : le Sous-traitant aide le Responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données. Le Sous-traitant aide le Responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
11. Mesures de sécurité : le Sous-traitant s’engage à mettre en œuvre les mesures de sécurité techniques et organisationnelles garantissant un niveau de sécurité adaptées au risque.
12. Sort des données : aux termes de la prestation de services relatifs au traitement de ces données, le Sous-traitant s’engage à détruire toutes les données à caractère personnel ou à les anonymiser de façon irréversible et permanente.
13. Délégué à la protection des données : le Sous-traitant communique au Responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du RGPD.

V. Obligations du Responsable de traitement vis-à-vis du Sous-traitant

Le Responsable de traitement s’engage à :
1. fournir au Sous-traitant les données visées au II des présentes clauses
2. documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant
3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du Sous-traitant
4. superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant si nécessaire

1. Coordonnées du responsable de traitement

Vos données personnelles sont traitées par la société DATAYOYO, en qualité de responsable de traitement (ci-après « DATAYOYO » ou « nous »).
DATAYOYO est située au 36 rue Georges Thoretton 92230 Gennevilliers et est joignable à l’adresse email suivante : contact@datayoyo.fr .

2. Finalités des traitements et fondements juridiques

Les données personnelles vous concernant collectées lors de la conclusion d’un contrat sont traitées pour les finalités et sur les fondements juridiques décrits dans le tableau ci-dessous.

3. Données personnelles traitées

De manière générale, nous nous engageons à collecter et traiter uniquement les données personnelles qui sont nécessaires à chacune des finalités listées ci-dessus.
Lorsque vous remplissez le formulaire de création d’un compte utilisateur sur la solution CAC BI, le caractère obligatoire des réponses est indiqué par un astérisque. En l’absence d’astérisque, les informations sont facultatives.
Dans le cadre de notre relation commerciale et des finalités listées ci-dessus, les données personnelles suivantes vous concernant peuvent être traitées :

• Votre identité ;
• Votre fonction ;
• Vos coordonnées professionnelles ;
• Votre mot de passe vous permettant d’accéder à votre compte utilisateur.

Si vous effectuez un achat par carte bancaire sur notre site internet, nous ne collectons ni ne conservons les données relatives à votre carte de paiement. Ces données sont collectées directement par nos prestataires de paiement et sont soumises à la politique de confidentialité desdits prestataires. [il faudrait mettre le lien quand vous l’aurez choisi]

4. Destinataires des données personnelles vous concernant

Au sein de DATAYOYO, vos données personnelles sont communiquées uniquement aux services habilités qui ont besoin d’en connaitre, en raison de leurs fonctions et dans la limite de leurs attributions respectives.
Vos données personnelles peuvent également être communiqués à nos sous-traitants, notamment techniques.
En cas de litige, vos données personnelles pourront être communiquées à nos auxiliaires de justice, aux officiers ministériels ou à l’autorité saisie du litige.
Vos données personnelles ne sont pas transférées en dehors de l’Union Européenne.

5. Durées de conservation des données personnelles

Nous conservons vos données personnelles pour une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
De manière générale, DATAYOYO conserve vos données pendant la durée du contrat la liant avec le client auquel s’ajoute le délai de prescription de toute action en justice s’y rapportant.
Les données traitées aux fins de prospection commerciale sont conservées pendant 3 ans à compter de la fin de notre relation commerciale ou du dernier contact émanant de vous.

6. Vos droits

Conformément au RGPD, vous pouvez accéder et obtenir copie des données vous concernant, vous opposer au traitement de ces données, les faire rectifier ou effacer. Vous disposez également d’un droit à la limitation et à la portabilité de vos données dans les conditions énoncées par le RGPD.
S’agissant du droit d’opposition, nous attirons votre attention sur le fait que vous pouvez vous opposer à tout moment au(x) traitement(s) de vos données personnelles fondé(s) sur la poursuite de nos intérêts légitimes en justifiant de raisons tenant à votre situation particulière conformément à l’article 21 du RGPD. Vous pouvez également vous opposer à tout moment au traitement de vos données personnelles effectué aux fins de prospection commerciale.
Pour en savoir plus sur vos droits, vous pouvez consulter le site de la Commission Nationale de l’Informatique et des Libertés (CNIL) : www.cnil.fr.
Si vous estimez après nous avoir contactés, que vos droits en matière de données personnelles ne sont pas respectés, vous pouvez adresser une réclamation en ligne à la CNIL.

7. Nous contacter

Vous pouvez nous contacter à tout moment, pour toutes questions, préoccupations ou commentaires que vous souhaitez nous soumettre au sujet de la présente politique, toutes requêtes concernant vos données personnelles et toute demande d’exercice de vos droits en la matière par email à contact@datayoyo.fr ou par courrier postal à l’adresse suivante :
Société DATAYOYO
36 rue Georges Thoretton
92230 Gennevilliers