Politique de confidentialité
Dernière mise à jour le 12 octobre 2023
DataGalaxy (ci-après « DataGalaxy », « nous ») s’engage en faveur de la protection des données à caractère personnel (ci-après les « DCP ») et de la vie privée des utilisateurs de son site web, sa solution logicielle et de ses prestations de services (ci-après les « Services »).
A ce titre, et en application de la législation en vigueur en matière de traitement et protection des Données Personnelles et, en particulier, la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, et le Règlement européen Général sur la Protection des Données personnelles du 27 avril 2016 (ci-après le « RGPD »), DataGalaxy s’engage à respecter la confidentialité, l’intégrité et la sécurité de vos DCP.
Aussi, nous vous communiquons dans la présente politique de confidentialité (ci-après la « Politique de Confidentialité ») les conditions dans lesquelles vos DCP sont amenées à être traitées par nos soins, en tant que responsable de traitement, lorsque :
- Vous naviguez sur notre site Internet (xy-staging.pf12.wpserveur.net/fr/, ci-après le « Site ») : nous avons mis en place certains outils de mesure d’audience dans le but de mieux connaître et mieux interagir avec les visiteurs de notre site (ci-après le ou les « Visiteur(s) »). Ces outils sont également susceptibles de collecter un certain nombre de DCP vous concernant.
- Vous entrez en relation avec nous par intérêt pour nos services en faisant notamment une demande de démo, en tant que prospect (ci-après « Prospect »).
- Vous utilisez la plateforme DataGalaxy dans le cadre d’un contrat de licence et/ou de services conclu avec nous, en tant que client (ci-après « Client »). Vous serez alors amenés à partager des DCP afin d’assurer la bonne exécution dudit contrat.
- Vous entrez dans un processus de recrutement avec les équipes ressources humaines de DataGalaxy, en tant que candidat (ci-après « Candidat »).
Nous sommes susceptibles de modifier la présente Politique de confidentialité à tout moment afin d’assurer la transparence sur le traitement de vos DCP. Nous vous invitons donc à la consulter régulièrement.
Article 1 – QUELLES DCP COLLECTONS-NOUS ?
En utilisant les Services de DataGalaxy, vous consentez à ce que nous collections et traitions les DCP suivantes :
Personnes concernées : Client
Types de données
- Données d’identification (nom, prénom, état civil), Données de facturation et financières (RIB société, paiements, etc.), Données partagées avec les équipes DataGalaxy dont le service support, Données de navigation sur la plateforme DataGalaxy
Finalité
- Exécuter les services demandés dans le cadre du contrat (création, configuration et maintenance de votre compte DataGalaxy, gestion de la facturation…), Assurer un support de qualité et disponible, Assurer une relation commerciale de qualité, Gestion des évolutions du produit afin d’améliorer l’expérience client, Gestion des évènements marketing
Base légale
- La nécessité de poursuivre les objectifs légitimes de DataGalaxy, à savoir :
- — L’exécution du contrat auquel vous êtes partie.
- — Le respect de nos obligations légales.
- — Le respect de votre consentement, s’il est accordé, à recevoir nos courriels de marketing ou l’intérêt légitime de DataGalaxy à envoyer des courriels de marketing.
Personnes concernées : Prospect
Types de données
- Données d’identification (nom, prénom, état civil), Données liées à la vie professionnelle (fonction, entreprise, adresse mail professionnelle, numéro de téléphone professionnel)
Finalité
- Vous contacter pour organiser une démonstration afin de vous présenter le produit, et/ou vous envoyer des communications commerciales, Gestion des évènements marketing.
Base légale
- La nécessité de poursuivre les objectifs légitimes de DataGalaxy, à savoir :
- — Le développement et le suivi de sa base de prospects.
- — La promotion de son produit notamment au travers de la prospection commerciale.
Personnes concernées : Visiteur
Types de données
- Données Internet/Données de navigation (Cookies, logs, nature du terminal, pages consultées…)
Finalité
- Permettre un bon fonctionnement du site web et de la navigation, Proposer des publicités adaptées.
Base légale
- La nécessité de poursuivre les objectifs légitimes de DataGalaxy, à savoir :
- — Développer un site web fonctionnel.
- — Etablir des statistiques concernant l’utilisation du Site afin de l’améliorer.
Personnes concernées : Candidat
Types de données
- Données Internet/Données de navigation, Données partagées avec les équipes DataGalaxy dont le service recrutement (CV, résultats de tests…).
Finalité
- Permettre un bon fonctionnement du site web et de la navigation, Connaître les intérêts en fonction des pages consultées.
Base légale
- La nécessité de poursuivre les objectifs légitimes de DataGalaxy, à savoir :
- — Le développement et le suivi de sa base de candidats.
- — La promotion de son produit afin de développer son attractivité auprès de potentiels candidats
Pour toutes autres DCP collectées par tout autre moyen, le formulaire de collecte de ces DCP décrira les règles applicables dans l’hypothèse où elles seraient différentes des règles figurant dans la Politique de Confidentialité.
Article 2 – POUR QUELLE DURÉE CONSERVONS-NOUS VOS DCP ?
DataGalaxy conserve les DCP collectées le temps strictement nécessaire pour atteindre la finalité de chaque traitement, sauf exception prévue par la Loi. Ces délais de conservation sont communiqués sur le tableau ci-dessous.
Personne concernée : Client
Catégories de données personnelles
- Données d’identification
Durée de conservation
- Durée du contrat, puis 3 ans après sa fin.
Pourquoi ?
- Pour établir des statistiques et plus généralement à des fins probatoires.
Catégories de données personnelles
- Données de facturation et financières
Durée de conservation
- Durée du contrat, puis 10 ans après sa fin.
Pourquoi ?
- Pour le recouvrement de créances impayées et plus généralement à des fins probatoires conformément à la loi.
Catégories de données personnelles
- Documents contractuels pouvant contenir de la donnée personnelle
Durée de conservation
- Durée du contrat, puis 5 ans après sa fin.
Pourquoi ?
- Pour s’aligner au délai de prescription, la plupart des demandes étant soumises à un délai de prescription de 5 ans.
Catégories de données personnelles
- Données partagées avec les équipes DataGalaxy dont le service support.
Durée de conservation
- Durée du contrat.
Pourquoi ?
- Pour assurer un suivi continu des échanges, incidents et requêtes.
Personne concernée : Prospect
Catégories de données personnelles
- Données d’identification, Données liées à la vie professionnelle
Durée de conservation
- 3 ans après leur première collecte, sous réserve d’absence de demande d’effacement de votre part.
Pourquoi ?
- Pour établir des statistiques concernant votre utilisation de notre site, pour vous donner accès à un compte de démonstration et pour vous contacter.
Personne concernée : Visiteur
Catégories de données personnelles
- Données Internet/Données de navigation
Durée de conservation
- 13 mois après leur première installation sur votre terminal
Pourquoi ?
- Permettre un bon fonctionnement du site web et de la navigation.
Personne concernée : Candidat
Catégories de données personnelles
- Données Internet/Données de navigation, Données partagées avec les équipes DataGalaxy dont le service recrutement (CV, résultats de tests…).
Durée de conservation
- 13 mois après leur première installation sur votre terminal (cookies), et 2 ans à compter du dernier contact avec DataGalaxy, sous réserve d’absence de demande d’effacement de votre part.
Pourquoi ?
- Permettre de garder vos coordonnées et les données de votre profil afin de vous proposer d’éventuelles futures opportunités.
En application du RGPD, il se peut que vos DCP puissent être conservées par nos soins le temps que les délais de prescription d’action en justice soient atteints. Le cas échéant, seules les personnes en charge du contentieux au sein de l’entreprise y ont accès. A l’issue de ces délais, vos DCP sont soit effacées soit anonymisées de façon irréversible.
Lorsque nous n’avons plus de besoin commercial légitime de traiter vos données personnelles, nous les supprimerons dès que cela sera techniquement possible.
Article 3 – QUI A ACCES A VOS DCP CHEZ DATAGALAXY ?
Au vu de la finalité de chaque traitement, DataGalaxy met en œuvre les moyens nécessaires pour que les DCP ne soient accessibles que par ses services internes ayant à en connaître, si cela est strictement nécessaire pour la bonne exécution des traitements.
Les données personnelles sont donc transférées au sein des services compétents de DataGalaxy, selon le type de donnée et la finalité.
Article 4 – AVEC QUELS ORGANISMES EXTERNES VOS DCP SONT-ELLES PARTAGEES ?
1. Prestataires de services
Dans le cadre de l’exercice de ses activités et pour la fourniture de ses Services, DataGalaxy peut partager vos DCP avec des prestataires de services tiers.
Ces prestataires de services agissent, selon l’article 4.8 du RGPD, en qualité de sous-traitant de données personnelles. Dans un tel cas, DataGalaxy s’engage à s’assurer constamment que :
- Le prestataire est tenu contractuellement au respect des mêmes obligations que les nôtres en matière de protection des DCP.
- Le prestataire présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que les traitements répondent aux exigences de la législation en matière de protection des DCP et notamment du RGPD.
- Le prestataire, en cas de transfert de DCP en dehors de l’Union Européenne, assure contractuellement leur sécurité et leur confidentialité.
a. Services opérationnels
Nom du prestataire
- Amazon Web Services, Microsoft AZURE, OVH, Google Cloud Platform
Catégories de données
- Toutes
Why?
- À des fins d’hébergement et de sauvegarde.
Nom du prestataire
- Google Suite
Catégories de données
- Données d’identification, Données relatives à la vie professionnelle, et toute autre DCP que vous partagez avec nous lorsque vous nous contactez par courrier électronique.
Why?
- Pour gérer nos courriels et nos opérations quotidiennes.
Nom du prestataire
- Pack office
Catégories de données
- Nom, adresse électronique et toute autre donnée personnelle que vous partagez avec nous lorsque nous contractualisons.
Why?
- Pour gérer les opérations quotidiennes.
Nom du prestataire
- Notion
Catégories de données
- Nom, adresse électronique et toute autre donnée personnelle que vous partagez avec nous lorsque nous contractualisons.
Why?
- A des fins de gestion et documentation des tâches, process et projets.
b. Statistics and marketing services
Nom du prestataire
- Google Analytics
Catégories de données
- Cookies, données de navigation
Why?
- Pour améliorer votre expérience utilisateur sur notre Site, réaliser des statistiques et mesurer l’activité.
Nom du prestataire
- Axeptio
Catégories de données
- Cookies
Why?
- À des fins de gestion du recueil du consentement des visiteurs à la collecte des cookies.
Nom du prestataire
- Prestataires événementiels (prestataires audiovisuels, etc.)
Catégories de données
- Données d’identification (quand cela est nécessaire)
Why?
- À des fins de gestion des événements promotionnels.
c. Gestion et développement de la relation client et candidat
Nom du prestataire
- Docusign
Catégories de données
- Données d’identification et Données liées à la vie professionnelles (Client et Candidats).
Why?
- À des fins de signature des contrats.
Nom du prestataire
- Hubspot
Catégories de données
- Données d’identification et Données liées à la vie professionnelle, et toute autre DCP que les Clients et/ou prospects partagent avec nous.
Why?
- A des fins de gestion du CRM.
Nom du prestataire
- Pendo
Catégories de données
- Données de navigation sur la plateforme DataGalaxy, et tout autre DCP transmise aux équipes support
Why?
- Pour améliorer votre expérience utilisateur sur notre Site, réaliser des statistiques et mesurer l’activité.
Nom du prestataire
- Freshdesk
Catégories de données
- Toute DCP que vous pouvez partager avec nous lors du signalement d’un incident ou du recours au support.
Why?
- Pour gérer l’assistance à la clientèle, la résolution des incidents et assurer le suivi de vos demandes.
Nom du prestataire
- Workable
Catégories de données
- Toute DCP transmise par les Candidats lors de leur candidature à une offre d’emploi de DataGalaxy.
Why?
- A des fins de gestion des candidatures et processus de recrutement.
2. Autres tiers
Vos DCP sont susceptibles d’être partagées avec d’autres types de tiers :
Nom du prestataire
- Entrepreneurs indépendants (prestataires)
Catégories de données
- Les données strictement nécessaires à l’exercice de leurs fonctions.
Why?
- Pour exécuter une partie des services.
Nom du prestataire
- Experts comptables
Catégories de données
- Les données de facturation et financières
Why?
- A des fins de gestion de comptabilité.
Nom du prestataire
- Cabinet d’avocats
Catégories de données
- Les données communiquées par le Client dans le cadre du contrat.
Why?
- A des fins de résolution d’un litige.
3. Cas particuliers
Nous sommes également susceptibles de partager vos DCP dans les cas particuliers suivants :
- Lorsque la Loi, une disposition réglementaire en vigueur, une ordonnance judiciaire ou une réglementation nous l’impose ou nous l’autorise, ou si cette divulgation est nécessaire dans le cadre d’une enquête, ou d’une procédure, sur le territoire national ou à l’étranger.
- En cas d’audit effectué dans le cadre d’investissements, et/ou en cas de cession d’une entité de DataGalaxy ou de ses actifs, à tout acheteur potentiel.
- Lorsque nous transmettons des renseignements non personnels à des tiers, comme des DCP statistiques agrégées.
Article 5 – OU SONT STOCKÉES VOS DCP ?
L’ensemble des DCP collectées concernant les Visiteurs, les Prospects et les Candidats sont hébergées en Europe, quel que soit l’hébergeur. Pour les Clients, la localisation du stockage dépend de l’abonnement choisi par lui :
- Si le Client est situé en Union Européenne, l’ensemble des données contenues dans nos Services (y compris les DCP) seront toujours hébergées en Europe.
- Si le Client est situé aux Etats-Unis, l’ensemble des données contenues dans nos Services (y compris les DCP) seront toujours hébergées en Europe.
- Si le Client est situé dans un autre pays, nos équipes feront les meilleurs efforts pour assurer un hébergement de l’ensemble des données contenues dans nos Services (y compris les DCP) dans le pays correspondant.
Nos hébergeurs disposent de nombreuses certifications en termes de sécurité dont la liste est publiquement accessible sur leurs sites internets.
Article 6 – QUELS TRANSFERTS INTERNATIONAUX DE DCP EFFECTUONS-NOUS ?
1. Pour les Clients situés en Union Européenne
DataGalaxy ne transfère actuellement aucune DCP en dehors de l’Union Européenne. Dans le cas où nous sommes amenés à effectuer de tels transferts, ces derniers n’interviendront que dans un cas de transfert indirect à travers ses sous-traitants.
DataGalaxy étant soumise au RGPD, si elle envisage d’engager tout sous-traitant pour des activités qui impliquent un transfert DCP du Client vers tout pays en dehors de l’Union européenne, alors elle s’engage à s’assurer que la sécurité et la confidentialité desdites DCP soient préservées et ce notamment au travers :
- D’accords de protection des données mis en place entre l’Union européenne et les pays de destination.
- De clauses contractuelles types émises par la Commission européenne ou une Autorité de contrôle conformément à l’article 46 du RGPD.
- De contrats de sous-traitance de Données Personnelles conformément à l’article 28 du RGPD.
De contrats de sous-traitance de Données Personnelles conformément à l’article 28 du RGPD.
2. Pour les Clients situés aux Etats-Unis
DataGalaxy fait ses meilleurs efforts pour limiter les transferts de DCP hors des Etats-Unis. Lorsqu’un tel transfert est envisagé, ce dernier doit obligatoirement être lié au support et à l’amélioration de l’expérience utilisateur.
En effet, pour faciliter la gestion du support et l’expérience utilisateur en découlant, nous transférons certaines DCP (nom, prénom, adresse email et contenu du message) relatives aux utilisateurs de la Solution chez le Client, depuis les Etats-Unis vers la France. Les DCP sont répliquées temporairement en France le temps de régler le sujet ayant mené au contact du support.
Un tel support français étant soumis au RGPD, la sécurité et la confidentialité des DCP est assurée par les dispositions légales locales, qui sont très protectrices.
Article 7 – COMMENT ASSURONS-NOUS LA SÉCURITÉ DE VOS DCP ?
Afin d’assurer la sécurité des DCP que vous nous transmettez, nous avons mis en place un certain nombre de mesures techniques et organisationnelles appropriées. En particulier, la sécurité de vos DCP est assurée grâce à :
-
La mise en œuvre d’un contrôle d’accès et d’une gestion des habilitations relatives aux logiciels métiers.
- La pseudonymisation et le chiffrement des DCP, lorsque cela est possible.
- Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.
- Les moyens permettant de rétablir la disponibilité des DCP et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.
- Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Afin de renforcer cette démarche de protection de vos DCP, il vous est par ailleurs fortement recommandé d’utiliser un mot de passe long et comportant plusieurs caractères spéciaux, que vous êtes invité à changer régulièrement et garder confidentiel.
Article 8 – QUELS DROITS DÉTENEZ-VOUS SUR LE TRAITEMENT DE VOS DCP ET COMMENT LES EXERCER ?
1. Nature de vos droits
Conformément avec le RGPD, vous disposez des droits suivants :
- Droit d’accès : conformément à l’article 15 du RGPD, le droit d’interroger DataGalaxy en vue d’obtenir (i) la communication des DCP vous concernant sous une forme accessible ; (ii) la confirmation que vos DCP font ou ne font pas l’objet d’un traitement ; (iii) la communication des finalités du traitement, des catégories de Données Personnelles traitées et des destinataires auxquels vos DCP sont communiquées et (iv) la durée de conservation de vos DCP ou bien les critères utilisés pour déterminer cette durée.
- Droit à la portabilité des données : conformément à l’article 20 du RGPD, le droit de nous demander une copie de vos DCP dans un format structuré, couramment utilisé et lisible par machine afin de les remettre à un autre responsable de traitement.
- Droit de rectification : conformément à l’article 16 du RGPD, le droit de nous demander de modifier, de compléter ou de mettre à jour vos DCP qui se sont révélées inexactes, incomplètes, équivoques ou périmées.
- Droit à l’effacement (droit à l’oubli) : conformément à l’article 17 du RGPD, le droit de nous demander de supprimer définitivement vos DCP, dans les meilleurs délais, notamment lorsque vous considérez qu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles sont collectées ou que nous ne sommes plus légitimes à les traiter.
- Droit à la limitation du traitement : le droit de nous demander de limiter le traitement de tout ou partie de vos DCP uniquement dans les cas énumérés à l’article 18 du RGPD, à savoir :
— Vérifier l’exactitude des DCP que vous contestez
— Vous servir dans le cadre de la constatation, l’exercice ou la défense de vos droits en justice et ce bien que DataGalaxy n’en n’ai plus l’utilité ;
— Vérifier si les motifs légitimes poursuivis par DataGalaxy prévalent sur les vôtre dans l’hypothèse où vous vous opposeriez au traitement fondé sur l’intérêt légitime DataGalaxy ;
— Satisfaire votre demande de limitation de l’utilisation de vos DCP, plutôt qu’un effacement, dans l’hypothèse où le traitement de ces DCP est illicite. - Droit d’opposition : conformément à l’article 21 du RGPD, le droit de vous opposer à tout moment, pour des raisons liées à votre situation, au traitement des DCP à des fins de prospection commerciale ou, ayant pour base juridique la poursuite d’un intérêt légitime. À moins que nous ne démontrions un intérêt légitime et impérieux justifiant un tel traitement, nous ne traiterons plus que les DCP non concernées par votre demande.
- Droit post-mortem : conformément à l’article 85 de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, le droit de définir des directives particulières relatives à la conservation, l’effacement et la communication de vos DCP post-mortem. Ces directives particulières ne concerneront que les traitements mis en œuvre par DataGalaxy et seront limitées à ce seul périmètre.
2. Exercice de vos droits
Pour exercer vos droits, nous vous invitons à nous envoyer directement votre demande :
- Par courrier électronique à l’adresse dpo@datagalaxy.com, ou
- Par courrier à DataGalaxy, Data Protection Officer, 47 rue Vivienne, 75002 Paris.
Conformément à la législation applicable, nous vous demanderons de justifier de votre identité. Aussi, nous vous remercions par avance de préciser dès l’envoi de votre demande :
- Vos nom, prénom, adresse mail
- L’objet de votre demande, la nature du droit que vous souhaitez exercer et les raisons qui le justifient.
DataGalaxy aura un délai maximum d’un (1) mois pour répondre à votre demande, qui peut être prolongé jusqu’à 2 (deux) mois selon la complexité de la demande. Si nous ne donnons pas suite à votre demande, nous vous en donnerons les motifs et vous informerons de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.