Politique de confidentialité

DataGalaxy (ci-après « DataGalaxy », « nous ») s’engage en faveur de la protection des données à caractère personnel (ci-après les « DCP ») et de la vie privée des utilisateurs de son site web, sa solution logicielle et de ses prestations de services (ci-après les « Services »).

A ce titre, et en application de la législation en vigueur en matière de traitement et protection des Données Personnelles et, en particulier, la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, et le Règlement européen Général sur la Protection des Données personnelles du 27 avril 2016 (ci-après le « RGPD »), DataGalaxy s’engage à respecter la confidentialité, l’intégrité et la sécurité de vos DCP.

Aussi, nous vous communiquons dans la présente politique de confidentialité (ci-après la « Politique de Confidentialité ») les conditions dans lesquelles vos DCP sont amenées à être traitées par nos soins, en tant que responsable de traitement, lorsque :

• Vous naviguez sur notre site Internet (xy-staging.pf12.wpserveur.net/fr/, ci-après le « Site ») : nous avons mis en place certains outils de mesure d’audience dans le but de mieux connaître et mieux interagir avec les visiteurs de notre site (ci-après le ou les « Visiteur(s) »). Ces outils sont également susceptibles de collecter un certain nombre de DCP vous concernant.
• Vous entrez en relation avec nous par intérêt pour nos services en faisant notamment une demande de démo, en tant que prospect (ci-après « Prospect »).
• Vous utilisez la plateforme DataGalaxy dans le cadre d’un contrat de licence et/ou de services conclu avec nous, en tant que client (ci-après « Client »). Vous serez alors amenés à partager des DCP afin d’assurer la bonne exécution dudit contrat.
• Vous entrez dans un processus de recrutement avec les équipes ressources humaines de DataGalaxy, en tant que candidat (ci-après « Candidat »).

Nous sommes susceptibles de modifier la présente Politique de confidentialité à tout moment afin d’assurer la transparence sur le traitement de vos DCP. Nous vous invitons donc à la consulter régulièrement..

Article 1 – QUELLES DCP COLLECTONS-NOUS ?

En utilisant les Services de DataGalaxy, vous consentez à ce que nous collections et traitions les DCP suivantes :

Persons Concerned – Customer

Types de données	Finalité	Base légale
Données d’identification (nom, prénom, état civil), Données de facturation et financières (RIB société, paiements, etc.), Données partagées avec les équipes DataGalaxy dont le service support, Données de navigation sur la plateforme DataGalaxy	Exécuter les services demandés dans le cadre du contrat (création, configuration et maintenance de votre compte DataGalaxy, gestion de la facturation…), Assurer un support de qualité et disponible, Assurer une relation commerciale de qualité, Gestion des évolutions du produit afin d’améliorer l’expérience client, Gestion des évènements marketing	La nécessité de poursuivre les objectifs légitimes de DataGalaxy, à savoir : — L’exécution du contrat auquel vous êtes partie. — Le respect de nos obligations légales. — Le respect de votre consentement, s’il est accordé, à recevoir nos courriels de marketing ou l’intérêt légitime de DataGalaxy à envoyer des courriels de marketing.

Personnes concernées : Prospect

Types de données	Finalité	Base légale
Données d’identification (nom, prénom, état civil), Données liées à la vie professionnelle (fonction, entreprise, adresse mail professionnelle, numéro de téléphone professionnel)	Vous contacter pour organiser une démonstration afin de vous présenter le produit, et/ou vous envoyer des communications commerciales, Gestion des évènements marketing.	La nécessité de poursuivre les objectifs légitimes de DataGalaxy, à savoir : — Le développement et le suivi de sa base de prospects. — La promotion de son produit notamment au travers de la prospection commerciale.

Personnes concernées : Visiteur

Types de données	Finalité	Base légale
Données Internet/Données de navigation (Cookies, logs, nature du terminal, pages consultées…)	Permettre un bon fonctionnement du site web et de la navigation, Proposer des publicités adaptées.	La nécessité de poursuivre les objectifs légitimes de DataGalaxy, à savoir : — Développer un site web fonctionnel. — Etablir des statistiques concernant l’utilisation du Site afin de l’améliorer.

Personnes concernées : Candidat

Types de données	Finalité	Base légale
Données Internet/Données de navigation, Données partagées avec les équipes DataGalaxy dont le service recrutement (CV, résultats de tests…).	Permettre un bon fonctionnement du site web et de la navigation, Connaître les intérêts en fonction des pages consultées.	La nécessité de poursuivre les objectifs légitimes de DataGalaxy, à savoir : — Le développement et le suivi de sa base de candidats. — La promotion de son produit afin de développer son attractivité auprès de potentiels candidats

Pour toutes autres DCP collectées par tout autre moyen, le formulaire de collecte de ces DCP décrira les règles applicables dans l’hypothèse où elles seraient différentes des règles figurant dans la Politique de Confidentialité.

Article 2 – POUR QUELLE DURÉE CONSERVONS-NOUS VOS DCP ?

DataGalaxy conserve les DCP collectées le temps strictement nécessaire pour atteindre la finalité de chaque traitement, sauf exception prévue par la Loi. Ces délais de conservation sont communiqués sur le tableau ci-dessous.

Personne concernée : Client

Catégories de données personnelles	Durée de conservation	Pourquoi ?
Données d’identification	Durée du contrat, puis 3 ans après sa fin.	Pour établir des statistiques et plus généralement à des fins probatoires.
Données de facturation et financières	Durée du contrat, puis 10 ans après sa fin.	Pour le recouvrement de créances impayées et plus généralement à des fins probatoires conformément à la loi.
Documents contractuels pouvant contenir de la donnée personnelle	Durée du contrat, puis 5 ans après sa fin.	Pour s’aligner au délai de prescription, la plupart des demandes étant soumises à un délai de prescription de 5 ans.
Données partagées avec les équipes DataGalaxy dont le service support.	Durée du contrat.	Pour assurer un suivi continu des échanges, incidents et requêtes.

Personne concernée : Prospect

Catégories de données personnelles	Durée de conservation	Pourquoi ?
Données d’identification, Données liées à la vie professionnelle	3 ans après leur première collecte, sous réserve d’absence de demande d’effacement de votre part.	Pour établir des statistiques concernant votre utilisation de notre site, pour vous donner accès à un compte de démonstration et pour vous contacter.

Personne concernée : Visiteur

Catégories de données personnelles	Durée de conservation	Pourquoi ?
Données Internet/Données de navigation	13 mois après leur première installation sur votre terminal	Permettre un bon fonctionnement du site web et de la navigation.

Personne concernée : Candidat

Catégories de données personnelles	Durée de conservation	Pourquoi ?
Données Internet/Données de navigation, Données partagées avec les équipes DataGalaxy dont le service recrutement (CV, résultats de tests…).	13 mois après leur première installation sur votre terminal (cookies), et 2 ans à compter du dernier contact avec DataGalaxy, sous réserve d’absence de demande d’effacement de votre part.	Permettre de garder vos coordonnées et les données de votre profil afin de vous proposer d’éventuelles futures opportunités.

En application du RGPD, il se peut que vos DCP puissent être conservées par nos soins le temps que les délais de prescription d’action en justice soient atteints. Le cas échéant, seules les personnes en charge du contentieux au sein de l’entreprise y ont accès. A l’issue de ces délais, vos DCP sont soit effacées soit anonymisées de façon irréversible.

Lorsque nous n’avons plus de besoin commercial légitime de traiter vos données personnelles, nous les supprimerons dès que cela sera techniquement possible.

Article 3 – QUI A ACCES A VOS DCP CHEZ DATAGALAXY ?

Au vu de la finalité de chaque traitement, DataGalaxy met en œuvre les moyens nécessaires pour que les DCP ne soient accessibles que par ses services internes ayant à en connaître, si cela est strictement nécessaire pour la bonne exécution des traitements.

Les données personnelles sont donc transférées au sein des services compétents de DataGalaxy, selon le type de donnée et la finalité.

Article 4 – AVEC QUELS ORGANISMES EXTERNES VOS DCP SONT-ELLES PARTAGEES ?

1. Prestataires de services

Dans le cadre de l’exercice de ses activités et pour la fourniture de ses Services, DataGalaxy peut partager vos DCP avec des prestataires de services tiers.

Ces prestataires de services agissent, selon l’article 4.8 du RGPD, en qualité de sous-traitant de données personnelles. Dans un tel cas, DataGalaxy s’engage à s’assurer constamment que :

• Le prestataire est tenu contractuellement au respect des mêmes obligations que les nôtres en matière de protection des DCP.
• Le prestataire présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que les traitements répondent aux exigences de la législation en matière de protection des DCP et notamment du RGPD.
• Le prestataire, en cas de transfert de DCP en dehors de l’Union Européenne, assure contractuellement leur sécurité et leur confidentialité.

a. Services opérationnels

Nom du prestataire	Catégories de données	Pourquoi ?
Amazon Web Services, Microsoft AZURE, OVH, Google Cloud Platform	Toutes	À des fins d’hébergement et de sauvegarde.
Google Suite	Données d’identification, Données relatives à la vie professionnelle, et toute autre DCP que vous partagez avec nous lorsque vous nous contactez par courrier électronique.	Pour gérer nos courriels et nos opérations quotidiennes.
Pack office	Nom, adresse électronique et toute autre donnée personnelle que vous partagez avec nous lorsque nous contractualisons.	Pour gérer les opérations quotidiennes.
Notion	Nom, adresse électronique et toute autre donnée personnelle que vous partagez avec nous lorsque nous contractualisons.	A des fins de gestion et documentation des tâches, process et projets.

b. Statistics and marketing services

Nom du prestataire	Catégories de données	Pourquoi ?
Google Analytics	Cookies, données de navigation	Pour améliorer votre expérience utilisateur sur notre Site, réaliser des statistiques et mesurer l’activité.
Axeptio	Cookies	À des fins de gestion du recueil du consentement des visiteurs à la collecte des cookies.
Prestataires événementiels (prestataires audiovisuels, etc.)	Données d’identification (quand cela est nécessaire)	À des fins de gestion des événements promotionnels.

c. Gestion et développement de la relation client et candidat

Name	Type of PII	Why?
Docusign	Données d’identification et Données liées à la vie professionnelles (Client et Candidats).	des fins de signature des contrats.
Hubspot	Données d’identification et Données liées à la vie professionnelle, et toute autre DCP que les Clients et/ou prospects partagent avec nous.	A des fins de gestion du CRM.
Pendo	Données de navigation sur la plateforme DataGalaxy, et tout autre DCP transmise aux équipes support	Pour améliorer votre expérience utilisateur sur notre Site, réaliser des statistiques et mesurer l’activité.
Freshdesk	Toute DCP que vous pouvez partager avec nous lors du signalement d’un incident ou du recours au support.	Pour gérer l’assistance à la clientèle, la résolution des incidents et assurer le suivi de vos demandes.
Workable	Toute DCP transmise par les Candidats lors de leur candidature à une offre d’emploi de DataGalaxy.	A des fins de gestion des candidatures et processus de recrutement.

2. Autres tiers

Vos DCP sont susceptibles d’être partagées avec d’autres types de tiers :

Type of provider	Type of PII	Why?
Entrepreneurs indépendants (prestataires)	Les données strictement nécessaires à l’exercice de leurs fonctions.	Pour exécuter une partie des services.
Experts comptables	Les données de facturation et financières	A des fins de gestion de comptabilité.
Cabinet d’avocats	Les données communiquées par le Client dans le cadre du contrat.	A des fins de résolution d’un litige.

3. Cas particuliers

Nous sommes également susceptibles de partager vos DCP dans les cas particuliers suivants :

• Lorsque la Loi, une disposition réglementaire en vigueur, une ordonnance judiciaire ou une réglementation nous l’impose ou nous l’autorise, ou si cette divulgation est nécessaire dans le cadre d’une enquête, ou d’une procédure, sur le territoire national ou à l’étranger.
• En cas d’audit effectué dans le cadre d’investissements, et/ou en cas de cession d’une entité de DataGalaxy ou de ses actifs, à tout acheteur potentiel.
• Lorsque nous transmettons des renseignements non personnels à des tiers, comme des DCP statistiques agrégées.

Article 5 – OU SONT STOCKÉES VOS DCP ?

L’ensemble des DCP collectées concernant les Visiteurs, les Prospects et les Candidats sont hébergées en Europe, quel que soit l’hébergeur. Pour les Clients, la localisation du stockage dépend de l’abonnement choisi par lui :

• Si le Client est situé en Union Européenne, l’ensemble des données contenues dans nos Services (y compris les DCP) seront toujours hébergées en Europe.
• Si le Client est situé aux Etats-Unis, l’ensemble des données contenues dans nos Services (y compris les DCP) seront toujours hébergées en Europe.
• Si le Client est situé dans un autre pays, nos équipes feront les meilleurs efforts pour assurer un hébergement de l’ensemble des données contenues dans nos Services (y compris les DCP) dans le pays correspondant.

Nos hébergeurs disposent de nombreuses certifications en termes de sécurité dont la liste est publiquement accessible sur leurs sites internets.

Article 6 – QUELS TRANSFERTS INTERNATIONAUX DE DCP EFFECTUONS-NOUS ?

1. Pour les Clients situés en Union Européenne

DataGalaxy ne transfère actuellement aucune DCP en dehors de l’Union Européenne. Dans le cas où nous sommes amenés à effectuer de tels transferts, ces derniers n’interviendront que dans un cas de transfert indirect à travers ses sous-traitants.

DataGalaxy étant soumise au RGPD, si elle envisage d’engager tout sous-traitant pour des activités qui impliquent un transfert DCP du Client vers tout pays en dehors de l’Union européenne, alors elle s’engage à s’assurer que la sécurité et la confidentialité desdites DCP soient préservées et ce notamment au travers :

• D’accords de protection des données mis en place entre l’Union européenne et les pays de destination.
• De clauses contractuelles types émises par la Commission européenne ou une Autorité de contrôle conformément à l’article 46 du RGPD.
• De contrats de sous-traitance de Données Personnelles conformément à l’article 28 du RGPD.

De contrats de sous-traitance de Données Personnelles conformément à l’article 28 du RGPD.

2. Pour les Clients situés aux Etats-Unis

DataGalaxy fait ses meilleurs efforts pour limiter les transferts de DCP hors des Etats-Unis. Lorsqu’un tel transfert est envisagé, ce dernier doit obligatoirement être lié au support et à l’amélioration de l’expérience utilisateur.

En effet, pour faciliter la gestion du support et l’expérience utilisateur en découlant, nous transférons certaines DCP (nom, prénom, adresse email et contenu du message) relatives aux utilisateurs de la Solution chez le Client, depuis les Etats-Unis vers la France. Les DCP sont répliquées temporairement en France le temps de régler le sujet ayant mené au contact du support.

Un tel support français étant soumis au RGPD, la sécurité et la confidentialité des DCP est assurée par les dispositions légales locales, qui sont très protectrices.

Article 7 – COMMENT ASSURONS-NOUS LA SÉCURITÉ DE VOS DCP ?

Afin d’assurer la sécurité des DCP que vous nous transmettez, nous avons mis en place un certain nombre de mesures techniques et organisationnelles appropriées. En particulier, la sécurité de vos DCP est assurée grâce à :

•  La mise en œuvre d’un contrôle d’accès et d’une gestion des habilitations relatives aux logiciels métiers.
• La pseudonymisation et le chiffrement des DCP, lorsque cela est possible.
• Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.
• Les moyens permettant de rétablir la disponibilité des DCP et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.
• Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Afin de renforcer cette démarche de protection de vos DCP, il vous est par ailleurs fortement recommandé d’utiliser un mot de passe long et comportant plusieurs caractères spéciaux, que vous êtes invité à changer régulièrement et garder confidentiel.

Article 8 – QUELS DROITS DÉTENEZ-VOUS SUR LE TRAITEMENT DE VOS DCP ET COMMENT LES EXERCER ?

1. Nature de vos droits

Conformément avec le RGPD, vous disposez des droits suivants :

• Droit d’accès : conformément à l’article 15 du RGPD, le droit d’interroger DataGalaxy en vue d’obtenir (i) la communication des DCP vous concernant sous une forme accessible ; (ii) la confirmation que vos DCP font ou ne font pas l’objet d’un traitement ; (iii) la communication des finalités du traitement, des catégories de Données Personnelles traitées et des destinataires auxquels vos DCP sont communiquées et (iv) la durée de conservation de vos DCP ou bien les critères utilisés pour déterminer cette durée.
• Droit à la portabilité des données : conformément à l’article 20 du RGPD, le droit de nous demander une copie de vos DCP dans un format structuré, couramment utilisé et lisible par machine afin de les remettre à un autre responsable de traitement.
• Droit de rectification : conformément à l’article 16 du RGPD, le droit de nous demander de modifier, de compléter ou de mettre à jour vos DCP qui se sont révélées inexactes, incomplètes, équivoques ou périmées.
• Droit à l’effacement (droit à l’oubli) : conformément à l’article 17 du RGPD, le droit de nous demander de supprimer définitivement vos DCP, dans les meilleurs délais, notamment lorsque vous considérez qu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles sont collectées ou que nous ne sommes plus légitimes à les traiter.
• Droit à la limitation du traitement : le droit de nous demander de limiter le traitement de tout ou partie de vos DCP uniquement dans les cas énumérés à l’article 18 du RGPD, à savoir :
  — Vérifier l’exactitude des DCP que vous contestez
  — Vous servir dans le cadre de la constatation, l’exercice ou la défense de vos droits en justice et ce bien que DataGalaxy n’en n’ai plus l’utilité ;
  — Vérifier si les motifs légitimes poursuivis par DataGalaxy prévalent sur les vôtre dans l’hypothèse où vous vous opposeriez au traitement fondé sur l’intérêt légitime DataGalaxy ;
  — Satisfaire votre demande de limitation de l’utilisation de vos DCP, plutôt qu’un effacement, dans l’hypothèse où le traitement de ces DCP est illicite.
• Droit d’opposition : conformément à l’article 21 du RGPD, le droit de vous opposer à tout moment, pour des raisons liées à votre situation, au traitement des DCP à des fins de prospection commerciale ou, ayant pour base juridique la poursuite d’un intérêt légitime. À moins que nous ne démontrions un intérêt légitime et impérieux justifiant un tel traitement, nous ne traiterons plus que les DCP non concernées par votre demande.
• Droit post-mortem : conformément à l’article 85 de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, le droit de définir des directives particulières relatives à la conservation, l’effacement et la communication de vos DCP post-mortem. Ces directives particulières ne concerneront que les traitements mis en œuvre par DataGalaxy et seront limitées à ce seul périmètre.

2. Exercice de vos droits

Pour exercer vos droits, nous vous invitons à nous envoyer directement votre demande :

• Par courrier électronique à l’adresse dpo@datagalaxy.com, ou
• Par courrier à DataGalaxy, Data Protection Officer, 47 rue Vivienne, 75002 Paris.

Conformément à la législation applicable, nous vous demanderons de justifier de votre identité. Aussi, nous vous remercions par avance de préciser dès l’envoi de votre demande :

• Vos nom, prénom, adresse mail
• L’objet de votre demande, la nature du droit que vous souhaitez exercer et les raisons qui le justifient.

DataGalaxy aura un délai maximum d’un (1) mois pour répondre à votre demande, qui peut être prolongé jusqu’à 2 (deux) mois selon la complexité de la demande. Si nous ne donnons pas suite à votre demande, nous vous en donnerons les motifs et vous informerons de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel..