Politique de Confidentialité et Protection des Données

• “OliveSoft“, “nous“, “notre“, “nos“ font référence à la société OLIVE-SOFT, immatriculée sous le numéro Siren 843 934 860, est une Société par Actions Simplifiée (SAS). Son siège social est situé au 42, rue de Maubeuge, 75009 Paris.
• Responsable du traitement : désigne l’entité qui détermine les finalités et les moyens du Traitement des Données personnelles ;
• Sous-traitant : désigne l’entité qui Traite des Données personnelles pour le compte du Responsable du Traitement et selon ses instructions ;
• Réglementation sur la protection des données : désigne toutes les réglementations européennes et nationales relatives à la vie privée et aux Données personnelles, notamment le Règlement UE n° 2016/679 du 27 avril 2016 (RGPD) et la Loi française n° 78-17 du 6 janvier 1978 modifiée et toute autre loi prévue par le contrat de prestation de services signé par le Client ;
• Autorité de protection des données : désigne l’autorité de contrôle concernée par le traitement des Données personnelles. Si un traitement affecte des personnes situées dans plusieurs États membres de l’Union européenne, l’autorité de contrôle du principal établissement du Responsable de Traitement sera considérée comme autorité chef de file, conformément au RGPD ;
• Données personnelles : désigne toute information relative à une personne physique identifiable ou identifiée ; une personne physique identifiable est une personne qui peut être identifiée directement ou indirectement, notamment par un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou plusieurs facteurs spécifiques à son identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale ;
• Traitement (ou Traiter) : désigne toute opération ou ensemble d’opérations effectuées sur des Données personnelles, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, l’extraction, la consultation, l’utilisation, la communication, la diffusion, la mise à disposition, le rapprochement, l’effacement ou la destruction ;
• Client(s) OliveSoft : fait référence aux clients de l’entreprise OliveSoft ayant conclu un contrat de prestation de services avec ladite entreprise.
• Contrat de prestation de services : désigne l’accord juridique conclu entre OliveSoft en tant que prestataire et son client, où OliveSoft s’engage à fournir des services spécifiques en échange d’une rémunération. Ce contrat formalise, par ailleurs, les modalités selon lesquelles OliveSoft, en tant que prestataire, peut accéder aux données personnelles du client afin de pouvoir exécuter les services convenus.

Article 2. Mesures de sécurité

OliveSoft peut agir soit en tant que Responsable de Traitement, soit en tant que Sous-traitant, en fonction des circonstances. En tant que Responsable de Traitement, OliveSoft détermine les finalités et les moyens du traitement des données personnelles et est responsable de la conformité de ces traitements aux obligations légales et réglementaires. En tant que Sous-traitant, OliveSoft traite des données personnelles pour le compte d’un client dans le cadre d’un contrat de prestation de services, en respectant les instructions du Responsable de Traitement et les obligations contractuelles et légales en matière de protection des données, y compris la sécurité et la confidentialité.

OliveSoft met en œuvre et maintient des mesures techniques et organisationnelles de sécurité appropriées pour protéger la confidentialité des Données personnelles qu’elle traite ou auxquelles elle a accès, conformément aux prescriptions de la Réglementation sur la protection des données.

Ces mesures tiennent compte des risques potentiels pour les personnes concernées du fait des traitements opérés. Elles sont conformes aux normes de l’industrie et aux bonnes pratiques en matière de sécurité, et tiennent compte des recommandations des Autorités de protection des données.

OliveSoft s’efforce de :

• Veiller à ce qu’elle dispose de mesures de sécurité physiques contre les actes de malveillance ou les cyberattaques.
• L’accès aux systèmes du client par le personnel de OliveSoft est protégé par des mesures d’habilitation et d’authentification fortes. Les mises à jour de sécurité des systèmes d’exploitation sont installées régulièrement. Des mesures techniques sont mises en place contre les logiciels malveillants.
• Mettre en œuvre et maintenir des mesures de sécurité et de confidentialité, qui prennent en compte les principes de protection des Données personnelles et sont adaptées aux risques engendrés par leur traitement sur les droits et libertés des personnes concernées, conformément aux exigences de la Réglementation applicable. Ces mesures visent à protéger les Données personnelles contre leur destruction, perte, altération, divulgation à des tiers non autorisés et à assurer le rétablissement de la disponibilité des Données personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident.

En cas de défaillance, OliveSoft fera de son mieux pour rétablir le service dans les plus brefs délais, dans la limite de ses engagements.

Pour les besoins de l’exécution des Services et plus généralement pour exécuter toutes autres tâches assignées par le Client au titre du Contrat de prestation de services, OliveSoft peut être amenée à traiter les Données personnelles que le Client intègre dans ses systèmes informatiques.

• Personne concernée : Tout individu dont les Données personnelles sont collectées ou traitées par le Client OliveSoft
• Finalité du traitement : Les finalités sont fixées par le Client OliveSoft
• Base légale : Exécution du Contrat entre le Client et la Personne concernée
• Catégories de données traitées : Toutes catégories, selon les activités de traitement opérées par le Client en tant que Responsable de traitement
• Durée de conservation : Durée du Contrat avec le Client ou toute autre durée de rétention sollicitée par le Client

Article 4. Engagements de OliveSoft

En qualité de Sous-traitant, OliveSoft s’engage à respecter les obligations suivantes et à s’assurer que son personnel respecte ces mêmes obligations, conformément à l’article 28 du RGPD :

• Traiter les Données personnelles collectées par le Client aux strictes fins de la fourniture des Services définis dans le Contrat ;
• Assurer la confidentialité des Données personnelles et veiller à ce que son personnel autorisé à les traiter soit soumis à une obligation de confidentialité ;
• Prendre en compte, concernant ses outils, produits, applications ou services, les principes de protection des Données personnelles dès la conception (privacy by design) et par défaut (privacy by default) ;
• Ne pas utiliser les Données personnelles à d’autres fins que celles prévues par le Contrat et ne pas les conserver au-delà du terme du Contrat ou de toute autre durée spécifiée par le Client ;
• Restituer les Données personnelles dans les conditions fixées ci-après ;
• Ne pas concéder de licence, louer, céder les Données personnelles, en totalité ou en partie, à un tiers, sans le consentement préalable écrit du Client ;
• Assister raisonnablement le Client dans l’exécution des analyses d’impact sur la vie privée si nécessaire ;
• Répondre dans les meilleurs délais à toute demande du Client portant sur les Données personnelles traitées afin de lui permettre de prendre en compte, dans les délais impartis, les éventuelles demandes des Personnes Concernées (droit d’accès, de rectification, d’effacement, d’opposition, etc.) ;
• Avertir et assister le Client dans la garantie du respect des obligations relatives à la sécurité des Données personnelles, notamment dans le cadre des procédures de notification de violation de sécurité, dans les conditions prévues ci-après ;
• Mettre en œuvre des mesures techniques et organisationnelles permettant au Client de respecter pleinement les droits des Personnes Concernées, notamment le droit d’accès, de rectification ou d’effacement des Données personnelles, ou la limitation du traitement de celles-ci, le droit de s’opposer aux décisions fondées sur le profilage, ainsi que le droit à la portabilité des données, le cas échéant ;
• Définir et formaliser une politique encadrant la restitution des données à caractère personnel ainsi que leur destruction, et la mettre à disposition du Client sur demande.

Le Client est informé que si OliveSoft est obligée de divulguer les Données personnelles à un organisme chargé de l’application de la loi, OliveSoft fera de son mieux pour donner au Client un préavis raisonnable et lui permettre de solliciter toute ordonnance de protection ou autre recours approprié, sauf si OliveSoft en est interdit par la loi ou par l’Autorité de protection des données compétente.

Article 5. Localisation des Données personnelles

Les Données personnelles ne sont pas conservées au sein des infrastructures d’OliveSoft, mais sont stockées dans les centres de données et les systèmes informatiques du client conformément aux dispositions légales en vigueur.OliveSoft a néanmoins accès à ces données dans le cadre de l’exécution du contrat de prestation de services. Cet accès est nécessaire pour permettre à OliveSoft de fournir les services convenus et de répondre aux besoins de ses clients. Ainsi, l’accès d’OliveSoft aux données personnelles des clients s’inscrit dans le cadre légal du contrat de prestation, et est limité aux seuls besoins de l’exécution des services convenus.

Article 6. Violation de données personnelles

Si OliveSoft a connaissance d’une violation de Données personnelles, il informera le Client dans les meilleurs délais après en avoir pris connaissance et fournira toutes les informations nécessaires afin que le Client puisse apprécier la violation.

Conformément à l’Article 33 du RGPD, à moins que la violation n’entraîne aucun risque pour les droits et libertés des Personnes Concernées, le Client, en tant que Responsable du traitement, assumera la responsabilité de la notification à l’Autorité de contrôle et, si la violation est susceptible de causer un risque élevé pour leurs droits et libertés, aux personnes affectées, dans chaque État Membre concerné. Cette notification doit être effectuée sans retard injustifié et au plus tard 72 heures après que le Client ait eu connaissance d’une violation des Données personnelles.

Cette notification du Client à l’Autorité de contrôle doit :

• Décrire la nature de la violation des Données personnelles et inclure, si possible, les catégories et le nombre approximatif de personnes concernées affectées, et les catégories et le nombre approximatif des dossiers de Données personnelles concernés ;
• Communiquer le nom, les coordonnées du délégué à la protection des données ou des autres contacts auprès desquels des informations complémentaires peuvent être obtenues ;
• Décrire les conséquences probables de la violation des Données personnelles ;
• Décrire les mesures prises ou proposées pour traiter la violation des Données personnelles, y compris les mesures pour atténuer leurs éventuels effets négatifs.

Article 7. Registre des activités de traitement

OliveSoft tient un registre des activités de traitement réalisées pour le compte du Client, identifiant pour lui-même et chacun de ses sous-traitants ultérieurs les activités de traitement effectuées pour le compte du Client, le lieu à partir duquel le service est rendu et les transferts éventuels de Données personnelles en dehors de l’Espace Économique Européen (EEE). Le registre documentera également, le cas échéant, la mise en œuvre de garanties appropriées pour assurer un niveau de protection adéquat, et toute autre information requise par la Réglementation sur la protection des données. Le registre sera accessible à tout moment au Client et à l’Autorité de protection des données.

Article 8. Sécurité et confidentialité des traitements

Les exigences générales de sécurité sont énoncées à l’ARTICLE 2 ci-dessus.

En ce qui concerne la sécurité des Données personnelles traitées pour les besoins de l’exécution des Services, OliveSoft met en œuvre des mesures supplémentaires résultant de la Réglementation sur la protection des données. En particulier, OliveSoft s’engage à mettre en œuvre les mesures suivantes :

Article 9. Sous-traitants ultérieurs

Le Client autorise expressément OliveSoft à sous-traiter chez sa filiale l’exécution des tâches impliquant un traitement, en totalité ou en partie, de Données personnelles dans le cadre des Services.

OliveSoft s’engage à informer le Client de tout changement prévu concernant la désignation ou le remplacement d’un sous-traitant ultérieur et à donner au Client l’opportunité de contester ce changement par écrit dans un délai de 8 jours calendaires. Le Client ne pourra s’opposer au nouveau sous-traitant ultérieur que pour les motifs suivants : (i) le nouveau sous-traitant est un concurrent direct du Client ; (ii) le nouveau sous-traitant est engagé dans un litige en cours avec le Client ; (iii) le Client estime que le nouveau sous-traitant ne respecte pas la Réglementation sur la protection des données ; (iv) le remplacement du sous-traitant réduirait les mesures de sécurité existantes.

En toute hypothèse, OliveSoft garantit que tout sous-traitant ultérieur qu’il désigne offre des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées pour répondre aux prescriptions de la Réglementation sur la protection des données.

Le traitement par un sous-traitant ultérieur est régi par un contrat entre OliveSoft et le sous-traitant ultérieur qui énonce les mêmes droits et obligations que ceux définis dans les présentes, y compris l’obligation d’assurer la sécurité des traitements, la protection des Données personnelles et le droit d’audit. OliveSoft s’assurera régulièrement, notamment par des audits, de la conformité de ses sous-traitants ultérieurs aux obligations susmentionnées.

De plus, pour les transferts de Données personnelles en dehors de l’Espace Économique Européen (EEE), OliveSoft veillera à ce que ces contrats incluent les clauses contractuelles types approuvées par la Commission européenne pour assurer un niveau de protection adéquat des Données personnelles transférées.

OliveSoft tient à jour une liste des sous-traitants ultérieurs précisant (i) leur nom et leurs coordonnées, ainsi que (ii) la nature des tâches confiées, (iii) le lieu du traitement et (iv) les dates des audits précédents.

En tout état de cause, OliveSoft reste pleinement responsable vis-à-vis du Client de l’exécution des obligations de ses sous-traitants ultérieurs.

Article 10. Documentation
OliveSoft fournira au Client, sous réserve des obligations de confidentialité, toutes les informations nécessaires pour démontrer sa conformité aux obligations de la Réglementation sur la protection des données.

Article 11. Restitution des données et suppression

Au terme du Contrat de prestation de services, OliveSoft s’engage à restituer ou à supprimer les Données personnelles.

Article 12. Engagements du client

En tant que Responsable du Traitement, le Client doit s’assurer que les Utilisateurs et les Personnes Concernées ont été informés du traitement de leurs Données personnelles et ont donné leur consentement, lorsque celui-ci est requis. Le Client garantit OliveSoft à ce titre du respect de la Réglementation sur la protection des données (incluant notamment une information complète, intelligible et facilement accessible des Personnes Concernées ; une base de traitement appropriée ; et le respect de toutes les procédures et formalités requises, telle que la réalisation d’une analyse d’impact si applicable, etc.).

Si le Client agit en tant que Sous-traitant d’un tiers Responsable du traitement, le Client garantit OliveSoft :

• avoir obtenu toutes les autorisations nécessaires pour conclure le Contrat de prestation de services ;
• que le contrat conclu avec le Responsable de Traitement est en adéquation avec la réglementation en vigueur ;
• que les instructions données à OliveSoft sont conformes aux instructions du Responsable de Traitement ;

Article 13. Garanties du client

Le Client garantit qu’il a obtenu et maintiendra tous les consentements et/ou déclarations/autorisations nécessaires pour Traiter de manière licite les Données personnelles des Utilisateurs et des Personnes Concernées.

Le Client indemnisera et garantira OliveSoft de toute réclamation ou action d’un Utilisateur ou Personne concernée relativement à la protection de leurs Données personnelles.

Article 14. Responsabilité

Il est rappelé que OliveSoft est soumise à une obligation de moyens dans la fourniture des Services au Client. La responsabilité de OliveSoft à l’égard du Client ne pourra être engagée qu’en cas de dommage direct subi par le Client trouvant sa cause dans un manquement contractuel prouvé de OliveSoft commis dans ou à l’occasion de l’exécution de ses obligations.

Sans préjudice de ce qui précède, le Client reconnait et accepte expressément que la responsabilité de OliveSoft ne pourra en aucun cas être engagée au titre des traitements de Données personnelles opérés par le Client.

Le Client, Responsable de traitement, est seul responsable vis-à-vis des tiers, du respect de la Réglementation sur la protection des données et garantit OliveSoft contre toute action, réclamation ou recours de tiers (personnes concernées, Autorités de contrôle ou autre tiers) à ce titre.

En application de l’article 82 du RGPD, il est rappelé que la responsabilité de OliveSoft, en tant que Sous-traitant du Client, est strictement limitée aux obligations contractuelles prises dans le cadre du contrat de prestation de services. Si les deux Parties venaient à être conjointement déclarées responsables d’un dommage causé à une personne concernée du fait du traitement de ses Données, OliveSoft ne pourra être tenue de réparer le dommage qu’au prorata de sa responsabilité contractuelle vis-à-vis du Client.

Article 15. Identification des activités de traitement

OliveSoft traite les Données personnelles suivantes, en tant que Responsable de traitement : OliveSoft collecte, conserve, traite, utilise et communique des données à caractère personnel vous concernant lorsque vous utilisez la rubrique « contactez-nous » le site internet : https://OliveSoft.fr

OliveSoft collecte et traite les catégories de données suivantes : Données d’identification et de contact : par exemple votre identité, adresse e-mail, numéro de téléphone.

OliveSoft collecte les données vous concernant pour répondre à vos demandes, questions et réclamations en ligne. Pour cette finalité fondée sur notre intérêt légitime, nous nous assurons de prendre en compte tout impact potentiel que cette collecte peut avoir sur vous et les utilisateurs du Site d’une manière générale. Si nous pensons que votre intérêt ou vos droits et libertés fondamentaux outrepassent notre intérêt légitime, alors nous n’utiliserons pas vos données personnelles sur ce fondement et pourrons vous demander votre consentement spécifique.

Les données sont conservées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles ont été collectées et qui sont décrites ci-dessus. Elles seront ensuite supprimées définitivement de nos systèmes ou anonymisées de manière à ce que vous ne soyez plus identifiés ni identifiables.

Article 16. Identification des destinataires des données personnelles traitées
Outre les Sous-traitants précités, OliveSoft peut être amenée à communiquer les Données personnelles qu’elle traite aux catégories de destinataires suivants :

• Membres du personnel de OliveSoft : pour l’exercice de leurs fonctions, aux fins strictement nécessaires à la réalisation des Services conformément au Contrat ;
• Cabinet d’expertise comptable : pour la gestion de la comptabilité de OliveSoft ;
• Commissaire aux comptes : pour la certification des comptes annuels ;
• Autorités administratives et/ou judiciaires : en cas de contrôle de la société et/ou de litige impliquant le Client. Dans ce dernier cas, OliveSoft fera de son mieux pour donner au Client un préavis raisonnable et lui permettre de solliciter toute ordonnance de protection ou autre recours approprié, sauf si OliveSoft en est interdit par la loi ou par l’autorité concernée.

Article 17. Engagements de OliveSoft
OliveSoft s’engage à traiter les Données personnelles du Client et des Utilisateurs dans le strict respect de la Réglementation sur la protection des données. À cette fin, OiveSoft met en œuvre et maintient des mesures de sécurité de la Plateforme et plus généralement, de son système informatique, conformes à la Réglementation précitée, tel que cela est plus amplement précisé dans l’ARTICLE 2 ci-dessus. Les Données personnelles sont strictement confidentielles et destinées exclusivement à OliveSoft, qui s’interdit d’exploiter les Données personnelles à d’autres fins que celles prévues ci-avant. Seuls les destinataires mentionnés à l’ARTICLE 16 ci-dessus pourront avoir communication des Données personnelles, aux seules fins d’exercice de leurs missions. OliveSoft s’engage à conserver les Données personnelles traitées pendant la durée de conservation mentionnée ci-dessus.

Article 18. Transferts de données hors de l’Espace Économique Européen
Le Client ou l’Utilisateur reconnaît expressément que certains Sous-traitants, mentionnés à l’ARTICLE 16, sont des sociétés affiliées de groupes étrangers localisés en dehors de l’Espace Économique Européen. Dès lors, des Données personnelles pourraient être transférées en dehors de l’EEE pour des raisons techniques (ex. gestion des plateformes, maintenance à distance, etc.) ou du fait d’une requête légale ou réglementaire. OliveSoft notifiera le Client dans les meilleurs délais si une telle requête était formulée et ne transmettra les Données personnelles aux autorités qu’avec l’accord express du Client. Si une telle notification n’est pas autorisée (préservation de la confidentialité ou d’une investigation judiciaire), OliveSoft notifiera le Client ou l’Utilisateur dès qu’il sera légalement autorisé à le faire. En dehors de ces cas, OliveSoft s’engage à prendre toutes les mesures légales reconnues comme appropriées par la Réglementation sur la protection des données pour contrôler le transfert concerné et assurer qu’il réponde aux exigences de la Réglementation précitée.

Article 19. Droits des personnes concernées
Le Client et chaque Utilisateur disposent des droits suivants sur leurs Données personnelles :

• Droit d’accès : obtenir la confirmation du traitement de ses Données personnelles ainsi qu’un certain nombre d’informations sur les traitements ;
• Droit de rectification : obtenir la rectification de ses Données personnelles lorsqu’elles sont inexactes ou incomplètes ;
• Droit à l’effacement : dans les conditions prévues à l’article 17 du RGPD, obtenir l’effacement de ses Données personnelles lorsqu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou que le Client ou l’Utilisateur s’oppose au traitement de ses Données personnelles ;
• Droit à la limitation du traitement : obtenir la limitation du traitement de ses Données personnelles lorsque le Client ou l’Utilisateur conteste l’exactitude des données, lorsque le délai de conservation des Données personnelles est arrivé à son terme mais que le Client ou l’Utilisateur a encore besoin de conserver ces Données personnelles pour la constatation, l’exercice ou la défense d’un droit en justice, ou si le Client ou l’Utilisateur s’est opposé au traitement ;
• Droit à la portabilité : obtenir la communication des Données personnelles que le Client ou l’Utilisateur a communiquées à OliveSoft dans un format lisible, ou demander à OliveSoft qu’elle transmette les Données personnelles que le Client ou l’Utilisateur a communiquées à un autre responsable de traitement ;
• Droit d’opposition : dans les conditions de l’article 21 du RGPD, s’opposer à tout moment, pour des motifs tenant à sa situation personnelle, au traitement de ses Données personnelles, notamment dans le cas où cette opposition concerne de la prospection commerciale, y compris le profilage ;
• Retrait du consentement : retirer son consentement au traitement futur de ses Données personnelles par OliveSoft, lorsque le traitement est fondé sur le consentement ;
• Droit d’introduire une réclamation : introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) s’il considère que le traitement opéré par OliveSoft constitue une violation de ses Données personnelles. Les services de la CNIL peuvent être contactés via un formulaire en ligne disponible ici: Formulaire CNIL.

Article 20. Exercice des Droits des personnes concernées

Vous pouvez exercer ces droits ou poser toute question relative à la gestion de vos données personnelles en vous adressant à notre Délégué à la protection des données personnelles par email à l’adresse suivante : dpo@olivesoft.fr.