Politique de confidentialité
Politique de traitement des données personnelles applicable aux contacts, clients, prospects, bénéficiaires de services externalisés
La politique énoncée ci-après s’applique aux traitements de données personnelles effectués par ISPGROUP holding des sociétés ISP France, ISP Maroc, Outside BO France, Outside BO Maroc (ci-après désigné le responsable du traitement).
1 – Dispositions générales
Les dispositions qui suivent concernent tous les traitements de données personnelles effectués par le responsable du traitement, sauf mention contraire dans les dispositions spécifiques.
- Cadre juridique – conformité au RGPD et à la loi française
Le responsable du traitement déclare qu’il effectue des traitements de données personnelles conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après désigné le RGPD) et à loi française n° 7817 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée).
- Responsable du traitement et autres intervenants
Le responsable du traitement est identifié ci-dessus. Ses coordonnées sont : Outside BO France [coordonnées : 04 78 31 65 30, contact@isp-group.org, www.ISP-group.org].
Le représentant du responsable du traitement et DPO est Nathalie Lempereur. Ses coordonnées sont: 04 78 31 65 30, n.lempereur@isp-group.org, www.ISP-group.org
- Définition contacts, clients, prospects, bénéficiaires
• Par CONTACT on entend membre d’une entreprise CLIENT avec relation d’affaire actuelle future ou passée avec le groupe ISP
• Par CLIENT on entend entreprise avec relation d’affaire actuelle future ou passée avec le groupe ISP
• Par BENEFICIAIRE on entend personne bénéficiant de la mise en place d’un service pour lequel le CLIENT a mandaté le groupe ISP
• Par PROSPECT on entend entreprise sans relation d’affaire actuelle future ou passée avec le groupe ISP
- Destinataires des données à caractère personnel
Les destinataires des données sont exclusivement le personnel salarié en CDI Outside BO (France & Maroc).
- Transfert de données
Le responsable du traitement effectue un transfert de données à caractère personnel au sein de la société Outside BO vers un pays tiers à savoir le MAROC.
Les règles d’entreprise contraignantes qui s’appliquent à ISP Group et ses filiales sont celles du Binding Corporate Rules (ou BCR) et désignent la politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l’Union européenne.
La société mère ISP Group au travers de ses filiales est dans le cadre de BCR « responsable de traitement » qui permet d’encadrer les transferts effectués au sein d’un groupe agissant en qualité de responsable de traitement.
- Les points de processus liant ISO et RGPD recommandés
ISP Group étant ISO 9001 : 2015, les traitements effectués au sein de l’entreprise sont soumis à d’autres mesures concernant les employés:
o Désignation d’un DPO (Officier ou « Délégué » à la protection des données) salarié de l’entreprise interlocuteur privilégié des salariés ;
o Sensibilisation de tout le personnel sur la réglementation RGPD
o Rédaction d’un engagement de confidentialité des salariés gérant des données sensibles et attaché à leur dossier de travail
- Durée de conservation des données à caractère personnel
Les données sont conservées le temps de l’exécution du contrat d’externalisation puis pendant 2 ans à compter après la dernière facture, ce laps de temps étant l’usage constaté de clients ponctuels ou récurrents.
- Droits de la personne dont les données sont collectées
La personne dont les données personnelles sont collectées a le droit :
– De demander au DPO l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée,
– De s’opposer au traitement,
– A la portabilité de ses données,
– D’introduire une réclamation auprès d’une autorité de contrôle,
– De retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci, ce droit existant exclusivement lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a) du RGPD, c’est-à-dire sur le consentement de la personne concernée au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.
- Prise de décision automatisée – profilage
Aucun profilage ne sera réalisé et plus généralement aucune décision automatisée ne sera prise sur la base des données collectées en ce qui concerne contacts, clients ou bénéficiaires .
Des décisions automatisées seront prises en ce qui concerne les PROSPECTS sur la base des données collectées. Celles-ci concernent un principe de qualification à savoir dans quelles villes et dans quel secteur d’activité elles sont pour pouvoir cible nos campagnes marketing.
2 – Dispositions spécifiques
Les dispositions qui suivent sont spécifiques à chaque type de traitement de données personnelles.
– Gestion de la relation avec nos contacts et prospects
Données personnelles traitées
Nous traitons les données personnelles suivantes :
o Contacts, clients, prospects : infos personnelles ville, adresse mail et téléphones.
Finalités – Le traitement de données personnelles CONTACTS, CLIENTS, PROSPECTS est destiné à la gestion de la relation avec nos contacts et prospects. En particulier, ce traitement tend à communiquer à la personne concernée des informations sur les actualités de notre organisation, de nos produits et nos services.
Base juridique – Ce traitement de données personnelles est fondé sur le consentement de la personne concernée (article 6, paragraphe 1, point a) du RGPD). La demande de données a un caractère contractuel. La personne concernée n’est pas tenue de fournir ces données. Si la personne concernée ne fournit pas les données ou retire son consentement au traitement de données, elle ne pourra pas par exemple recevoir d’information sur les actualités de notre organisation, nos produits et nos services.
- Procédure d’acceptation de nos clients
Données personnelles traitées – Nous traitons les données suivantes :
Civilité, prénom, nom, coordonnées téléphoniques, adresse électronique, adresse postale, profession, organisation (société, entreprise ou autre), fonctions, produit ou service demandé, canal de distribution, conditions de transaction, territoire de destination des produits, identité du bénéficiaire effectif, éventuels risques particuliers (au sens de l’article L. 561-10 2° du code monétaire et financier)].
Finalités – Ce traitement de données est destiné à satisfaire à nos obligations de vigilance à l’égard de la clientèle, conformément au droit français, notamment aux articles L. 561-4-1 et R. 561-5 du code monétaire et financier.
Base juridique – Ce traitement est nécessaire au respect des obligations légales auxquelles le responsable du traitement est soumis. Il est fondé sur l’article 6, paragraphe 1, point c) du RGPD. La demande de données conditionne l’établissement d’une relation d’affaires, conformément aux dispositions législatives et réglementaires applicables. La personne concernée est tenue de fournir ces données si elle souhaite l’établissement de cette relation. Si la personne concernée ne fournit pas les données, nous ne pourrons pas poursuivre de relations d’affaires avec elle.
– Gestion de la relation avec nos clients
Données personnelles traitées – Nous traitons les données personnelles suivantes : prénom, nom, coordonnées téléphoniques, adresse électronique, adresse postale, profession, produit ou service acheté, prix d’achat, remise éventuelle, lieu de livraison, canal de distribution, modalités de paiement, informations relatives au paiement.
Finalités – Le traitement de données personnelles est destiné à la gestion de la relation avec nos clients. En particulier, ce traitement tend à exécuter les mesures précontractuelles prises à la demande du CLIENT concerné.
– Gestion de la relation avec les bénéficiaires de nos clients
Services aux professionnels
Données personnelles traitées – nous traitons les données personnelles des bénéficiaires de services aux professionnels de nos clients suivantes : nom – adresse – téléphone – mail
Services aux particuliers
Données personnelles traitées – Nous traitons les données personnelles des bénéficiaires de services aux particuliers de nos clients suivantes : nom – adresse – téléphone – date de naissance – digicode
Base juridique – Ce traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci. Il est fondé sur l’article 6, paragraphe 1, point b) du RGPD. La demande de données a un caractère contractuel. La personne concernée est tenue de fournir ces données si elle souhaite bénéficier de nos produits ou de nos services. Si la personne concernée ne fournit pas les données, elle ne pourra pas bénéficier de nos services.
- Messages marketing et publicitaires
Données personnelles traitées – Nous traitons les données suivantes : nom, prénom, adresse email, informations sur les messages ouverts et les liens suivis (y compris la date et l’horaire de la consultation)].
Finalités – Le traitement est destiné à améliorer notre communication et à adresser des contenus pertinents à des moments opportuns.
Prise de décision automatisée – profilage – Des décisions automatisées seront prises sur la base des données collectées. La logique sous-jacente de ces décisions automatisées est la suivante :
– Toute personne qui reçoit un email peut cliquer sur un lien de désabonnement qui est mis de façon explicite dans toutes nos communication.
– Toute personne qui n’ouvre pas un premier email peut recevoir un autre email de présentation de la société.
– Si pas de désinscription, envoi de 2eme mail d’information avec lien sur internet semaine +1
– Si pas de désinscription, envoi de 3 eme mail d’information avec lien sur internet semaine +3
Notre logiciel CRM Zoho CRM est certifié RGPD enregistre et marque tous les refus d’envoi ou de relance et cette information de désinscription est conservée. Cette certification est un point fort de ce logiciel : https://www.zoho.com/fr/crm/help/gdpr/
Base juridique – Le traitement repose sur le consentement de la personne concernée (article 6, paragraphe 1, point a) du RGPD) et est nécessaire aux fins des intérêts légitimes que nous poursuivons, consistant à améliorer notre communication et à éviter d’adresser des communications inopportunes (article 6, paragraphe 1, point f) du RGPD). La demande de données a un caractère contractuel. La personne concernée n’est pas tenue de fournir ces données et elle peut s’opposer à tout moment à leur traitement. Si la personne concernée ne fournit pas les données ou retire son consentement au traitement de données, elle ne pourra pas recevoir des communications adaptées.