RAINBOW – Déclaration de confidentialité des données

Définitions

« Affilié » désigne toute entité contrôlée par ALE ou contrôlant ALE ou sous contrôle commun avec ALE.

« ALE » désigne le Groupe ALE ou n'importe lequel de ses affiliés.

« Groupe ALE » désigne ALE et ceux de ses affiliés qui participent au traitement des données personnelles.

« Responsable des traitements » désigne l'entité qui détermine les finalités et les moyens employés pour le traitement des données personnelles. Dans le cadre du Service RAINBOW, le Responsable des traitements est le client final, sauf lorsque l'utilisateur s'inscrit directement au Service Rainbow en tant que consommateur, auquel cas c'est ALE qui est le Responsable des traitements.

« Sous-traitant » désigne l'entité qui traite les données personnelles pour le compte du Responsable des traitements. Dans le cadre du Service RAINBOW, le sous-traitant peut être un prestataire de services, ALE ou un sous-traitant d'ALE participant à la fourniture du Service Rainbow.

« Lois sur la protection des données » désigne toutes les lois et règlements régissant le traitement des données personnelles, dont ceux en vigueur dans l'Union Européenne (« UE »), l'Espace économique européen (« EEE ») et leurs États-membres.

« Personne concernée » désigne l'individu auquel les données personnelles font référence. Dans le cadre du Service RAINBOW, la personne concernée est l'utilisateur du Service.

« Client final » désigne une société ou entité juridique qui s'engage contractuellement auprès du prestataire de services dans le but d'utiliser le Service Rainbow pour sa propre communauté d'utilisateurs.

« Données personnelles » désigne les informations associées à une personne identifiée ou identifiable.

« Traitement » désigne toute activité ou suite d'activités effectuées sur des données personnelles, suivant ou non un procédé automatique, telles que la collecte, l'enregistrement, l'organisation, le stockage, la modification ou l'adaptation, l'extraction, la consultation, l'exploitation, la divulgation par transmission, diffusion ou autre mise à disposition, le rapprochement ou l'association, le blocage, l'effacement ou la destruction (« traité » a le même sens).

« Atteinte aux données » désigne un incident de sécurité lors duquel des données sensibles, protégées, personnelles ou confidentielles sont copiées, transmises, consultées, volées ou exploitées par un individu qui n'a pas autorité pour le faire.

« Service » désigne la fourniture du Service RAINBOW et le traitement associé des données personnelles des clients finaux réalisés par ALE.

« Clauses contractuelles types » désigne l'accord signé par ALE et certains de ses sous-traitants suite à la décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert des données personnelles aux agents de traitement établis dans des pays tiers qui ne garantissent pas un niveau adéquat de protection des données.

« Prestataire de services » désigne ALE International ou un revendeur autorisé auprès duquel le client final a acheté le Service Rainbow.

« Utilisateur » désigne l'individu qui accès au Service Rainbow. L'utilisateur est aussi la « personne concernée ».

A. Généralités

Le Service dénommé « RAINBOW » est une suite de services de collaboration basés dans le cloud qui permet des interactions et transactions entre communautés d'utilisateurs professionnels au-delà des frontières de l'entreprise. La principale fonction du Service est de recueillir les identités et de les mettre en relation afin d'exécuter des activités collaboratives telles que l'envoi de messages, l'émission et la réception d'appels audio ou vidéo, le partage d'écran ou de fichiers et l'échange de données (contenus) multimédias entre des terminaux tels que des ordinateurs de bureau ou téléphones mobiles.

ALE est l'éditeur du Service. ALE est le Responsable des traitements lorsque l'utilisateur s'inscrit directement au Service Rainbow en tant que consommateur ; dans tous les autres cas, il est sous-traitant. ALE entend tout faire pour respecter l'ensemble des lois et règlements ayant trait aux données personnelles, à la confidentialité des données et à la protection des données. ALE a élaboré et applique des stratégies et procédures pour la collecte et le traitement des données personnelles par le biais i) de la Politique internationale d'ALE en matière de confidentialité et ii) des dispositions de la présente Déclaration de confidentialité des données Rainbow, qui complète la Politique de confidentialité d'ALE.

ALE a désigné un délégué à la protection des données qui peut être joint à l'adresse :
ALE Data Protection Officer
32 avenue Kléber, 92700 Colombes, France
dataprivacy@890858.com

B. Obligations du Responsable des traitements et de l'sous-traitant

B.1 Obligations d'ALE en tant que Responsable des traitements

Lorsqu'il est Responsable des traitements,

ALE s’engage à respecter l'ensemble des lois et règlements, et dans ce contexte ceux qui ont trait à la confidentialité des données et à la protection et la sécurité des données personnelles.

ALE donnera l'ordre à ses sous-traitants de collecter et traiter les données personnelles conformément aux dispositions concernées des lois sur la protection des données en vigueur, notamment en ce qui concerne leur sécurité, protection et divulgation.

ALE informera les personnes concernées i) de l'utilisation faite de leurs données personnelles (voir sections C ci-après), ii) de l'intervention des agents de traitement des données pour traiter leurs données personnelles et iii) de la possibilité que leurs données personnelles soient traitées en dehors de l'EEE (Espace économique européen).

ALE répondra aux demandes formulées par les personnes concernées au sujet du traitement de leurs données personnelles par le Responsable des traitements et le cas échéant transmettra les ordres qui conviennent au sous-traitant.

ALE répondra également aux demandes formulées par l'autorité chargée de veiller à la protection des données.

B.2 Obligations d'ALE en tant que sous-traitant

Lorsqu'il est sous-traitant :

ALE s’engage à respecter l'ensemble des lois et règlements, et dans ce contexte ceux qui ont trait à la confidentialité des données et à la protection et la sécurité des données personnelles.

Instructions :

ALE traite les données personnelles uniquement pour le compte du Responsable des traitements et conformément à ses instructions,

Accès aux données personnelles :

ALE veille à ce que les membres de son personnel intervenant dans le traitement des données personnelles aient conscience du caractère confidentiel de ces données, aient reçu une formation adaptée quant à leurs responsabilités et respectent un devoir de confidentialité. Ce devoir continuera d'exister même lorsque l'individu ne travaillera plus pour ALE.

ALE fera ce qui est nécessaire afin de garantir la fiabilité du personnel ALE intervenant dans le traitement des données personnelles.

ALE veille à ce que l'accès aux données personnelles au sein du Groupe ALE soit limité au personnel qui a effectivement besoin de cet accès pour apporter le Service.

Protection et sécurité des données personnelles

ALE fournit le plus haut niveau de protection des données, notamment personnelles, et à cette fin, a élaboré et applique des stratégies et procédures internes servant à la protection, la sécurité, la confidentialité et l'intégrité des données personnelles.

Atteinte aux données :

Si ALE prend connaissance d'une atteinte l aux données personnelles d'un individu stockées sur du matériel ou dans des locaux d'ALE, ou d'un accès non autorisé à ce matériel ou ces locaux ayant occasionné la perte, la divulgation ou la modification des données personnelles de la personne concernée (atteinte aux données), alors ALE, sans attendre : (a) avertira l'autorité chargée de la protection des données (APD) compétente et, après avoir obtenu l'accord de cette dernière, informera la personne concernée et le prestataire de services de l'atteinte aux données par le canal qui convient, (b) diligentera une enquête sur l'atteinte aux données et fournira à l'APD et la personne concernée des informations sur celle-ci par le canal qui convient et (c) prendra des mesures raisonnables en vue d'atténuer les répercussions et de limiter au maximum les éventuels préjudices causés par cette atteinte aux données.

Où :

(i) Les tentatives manquées d'atteinte aux données ne sont pas couvertes par cette section. Une tentative manquée d'atteinte aux données ne débouche pas sur un accès non autorisé aux données personnelles de l'individu ni au matériel ou aux locaux d'ALE où sont stockées ces données ; il peut s'agir, entre autres, de pings et autres attaques lancées contre des pares-feux ou serveurs périphériques, de scans de ports, de tentatives de connexion manquées, d'attaques par déni de service, de reniflage de paquets (ou autre accès non autorisé à des données de trafic limité aux adresses ou en-têtes IP) ou d'incidents similaires ; et

(ii) L'obligation d'ALE de signaler ou répondre à une atteinte aux données en vertu de la présente section ne saurait être interprétée comme une reconnaissance par ALE d'une faute ou responsabilité eu égard à l'atteinte aux données.

Les atteintes aux données, le cas échéant, seront signifiées aux personnes concernées par le canal choisi par ALE, qui pourra être le courrier électronique. Le destinataire est seul responsable de tenir à jour ses coordonnées dans le Service Rainbow.

Conditions supplémentaires pour le transfert de données personnelles en dehors de l'UE/EEE et de la Suisse :

ALE a mis en place des mécanismes appropriés afin d'assurer l'existence d'un niveau de protection des données personnelles adéquat lorsque celles-ci sont exportées vers des territoires considérés par l'UE comme n'ayant pas le niveau de protection suffisant (liste des territoires ayant un niveau de protection suffisant). ALE a conclu des contrats spécifiques (du type contrat de protection des données personnelles et de connexion) avec ceux de ses sous-traitants susceptibles d'importer des données personnelles en provenance de l'UE/EEE en employant notamment les clauses contractuelles types validées par la Commission européenne. Ces clauses comprennent le renseignement par les sous-traitants des mesures techniques et administratives prises pour protéger les données personnelles.

Emploi d'un autre sous-traitant

Des affiliés d'ALE pourront être choisis pour être sous-traitant, et

ALE et les affiliés d'ALE pourront désigner des sous-traitants en lien avec la fourniture des Services.

Ces sous-traitants pourront accéder à des données personnelles uniquement dans le but de fournir les services pour lesquels ALE les a nommés (par exemple : délégation de maintenance, notifications), mais n'auront pas le droit d'utiliser ces données à d'autres fins.

ALE sera responsable des actes et omissions de ses sous-traitants dans la même mesure qu'ALE pourrait être tenue responsable si elle réalisait elle-même les services de chaque sous-traitant.

Assistance fournie par ALE

ALE apportera son assistance à l'utilisateur et au Responsable des traitements en prenant les mesures techniques et administratives appropriées, afin de satisfaire les droits de l'utilisateur associés aux données ou satisfaire ses obligations telles qu'elles sont fixées dans les lois et règlements en vigueur portant sur la protection des données personnelles.

Si l'utilisateur ou le Responsable des traitements, lors de l'utilisation ou la réception des Services, n'a pas la possibilité de corriger, modifier, bloquer ou supprimer ses données personnelles comme le prévoient les lois sur la protection des données, ALE apportera son assistance pour faciliter ces actions dans la mesure où ALE est légalement autorisée à le faire.

Dans la mesure permise par la loi, ALE avertira sans tarder le Responsable des traitements si ALE reçoit une demande de la part de la personne concernée pour accéder, corriger, modifier ou supprimer ses données personnelles. ALE ne répondra pas à une telle demande de la part de la personne concernée sans l'accord écrit préalable du Responsable des traitements, hormis pour indiquer à la personne concernée que cette demande doit être adressée au Responsable des traitements. ALE apportera au Responsable des traitements l’assistance nécessaire pour traiter la demande de la personne concernée relative à l'accès à ses données personnelles, dans la mesure permise par la loi et dans la mesure où cette action ne peut pas pu être réalisée par le Responsable des Traitements ou l’Utilisateur lui-même.

Conservation des données personnelles :

ALE conservera les données personnelles aussi longtemps que nécessaire pour répondre aux besoins pour lesquels elles ont été collectées et dans les limites fixées par les lois et règlements. Par exemple, les données de connexion seront conservées un an.

C. Données personnelles collectées et utilisées par ALE pour fournir le Service Rainbow

Informations d'inscription

ALE obtiendra auprès de l'utilisateur au moins l'adresse électronique de ce dernier pour procéder à son inscription et faire usage du Service.

ALE pourra également obtenir d'autres informations auprès de l'utilisateur que ce dernier aura renseignées de manière facultative afin de lui proposer une meilleure expérience du Service. Ces informations facultatives sont, entre autres, le nom, le prénom, le surnom, l'emploi, le titre, la photo, les numéros de téléphone, d'autres adresses électroniques (collectivement, « informations d'inscription »).

Ces données personnelles ne seront pas utilisées à d'autres fins que celles stipulées aux paragraphes ci-après.

ALE utilise les informations d'inscription pour inscrire les utilisateurs au Service, pour exécuter le Service Rainbow, pour indiquer l'identité des utilisateurs aux autres utilisateurs Rainbow et pour alerter les utilisateurs de fonctions nouvelles ou améliorées et mises à jour du Service.

ALE pourra déterminer ou recueillir le nom de la société du client final à partir de la terminaison de l'adresse électronique de l'utilisateur afin de (a) présenter à l'utilisateur d'autres contacts de la société du client final et (b) proposer directement à la société du client final des services complémentaires aux Services Rainbow.

ALE n'utilisera pas les données personnelles pour envoyer des messages commerciaux ou promotionnels sans le consentement de l'utilisateur, sauf dans le cadre d'un programme ou une fonction spécifique ayant trait au Service Rainbow pour lequel ou laquelle l'utilisateur aura la possibilité de s'abonner.

ALE pourra t utiliser les données personnelles de l'utilisateur à des fins autres que promotionnelles ou administratives, mais uniquement si directement lié à la bonne exécution du Service, par exemple pour informer l'utilisateur de changements notables au sujet du Service Rainbow ou en cas de maintenance et entretien technique.

Informations produites par l'utilisateur

ALE conserve les informations produites par les utilisateurs (c'est-à-dire les informations envoyées, fournies ou créées par les utilisateurs en utilisant le Service). Cela comprend :

Conférences : dans le Service, toutes les discussions - qu'elles prennent la forme écrite, audio ou vidéo - entre deux ou plusieurs utilisateurs sont considérées comme des conférences. Dès lors, tous les contenus échangés lors d'une conversation sont considérés comme des informations produites par l'utilisateur et sont conservés (dans la limite de la période de conservation spécifiée dans la section ci-après).

Bulles : l'activité enregistrée dans les bulles (p. ex.), entrée ou sortie y compris toute activité associée à des intégrations tierces, de même que la date, l'heure, les utilisateurs participant à l'activité et présents dans la bulle.

Messages : le contenu des messages, l'expéditeur et les destinataires, la date, l'heure et les confirmations de lecture.

Contenu partagé : les fichiers et leur nom, poids et type.

Conférence audio : les participants à l'appel, la date, l'heure, la durée et les évaluations de qualité données. Nous acheminons le contenu des appels audio et vidéo ainsi que le contenu des écrans partagés entre les participants, mais nous ne le conservons pas et ne le stockons pas. Ces informations de connexion sont également appelées enregistrements détaillés des appels.

Présence : les informations de statut, par exemple si et quand l'utilisateur est actif, absent du bureau, ou a activé l'option « Ne pas déranger », sont affichées vers les autres utilisateurs.

Ces informations permettent à ALE d'offrir à l'utilisateur une expérience améliorée du Service et notamment un historique permanent de ses interactions avec les autres. Il convient de souligner que tous les messages et contenus partagés par l'utilisateur, y compris toutes les informations personnelles à son sujet et au sujet de tiers, seront accessibles à l'ensemble des participants de la discussion / l'appel / le dossier partagé, y compris ceux qui rejoindront la discussion / l'appel / le dossier partagé après que l'utilisateur ait partagé ces messages ou contenus.

Si l'utilisateur partage une discussion avec un utilisateur qui ne participait pas à la discussion, lorsque cet utilisateur se joindra la discussion il pourra voir la liste des autres utilisateurs participant à la discussion, mais ne pourra pas voir les messages (passés) échangés avant son arrivée.

ALE pourra utiliser des données d'utilisation agrégées fournissant des renseignements pour comprendre comment est utilisé le Service et comment améliorer la qualité et le design du Service Rainbow et créer des fonctions, fonctionnalités ou services nouveaux ou améliorés en stockant, suivant et analysant les préférences et tendances des utilisateurs. ALE pourra utiliser les informations des cookies et fichiers journaux pour : (a) mémoriser des informations et éviter aux utilisateurs d'avoir à ressaisir leurs identifiant et mot de passe la prochaine fois qu'ils utiliseront le Service Rainbow ; (b) suivre des indicateurs individuels et collectifs tels que le nombre total d'interactions, les pages consultées, l'appareil utilisé et enfin (c) garder une trace de leurs saisies, envois, vues, etc.

Informations de connexion :

Lorsque l'utilisateur se connecte au Service, les informations de connexion produites sont les suivantes : l'adresse IP, la date, l'heure et les détails techniques nécessaires à la facturation.

Remarque concernant l'application mobile Rainbow :

Lorsque l'utilisateur installe l'application mobile Rainbow sur son appareil mobile, l'application demande la permission d'accéder au carnet d'adresses ou à la liste de contacts sur son appareil.

D. Divulgation des données personnelles à des tiers

Informations d'inscription et de présence de l'utilisateur

Lorsqu'un utilisateur (i) rejoint volontairement le cercle Rainbow privé de son client final ou (ii) rejoint volontairement une « bulle Rainbow » (groupe d'utilisateurs dédié) ou (iii) accepte de faire partie de la liste de contacts d'un autre utilisateur, alors les données personnelles et informations de présence de l'utilisateur s'affichent dans le Service Rainbow (i) des autres membres du client final, (ii) des autres membres de la bulle Rainbow ou (iii) de l'utilisateur qui l'a ajouté à sa liste de contacts, respectivement.

Exécution et amélioration du Service :

ALE pourra fournir et partager les données personnelles de l'utilisateur à ses filiales ou des sous-traitants intervenant en qualité de sous-traitants suivant le principe du besoin de savoir afin de soutenir ALE dans l'une des finalités énoncées au paragraphe Informations d'inscription ci-avant. Les données personnelles de l'utilisateur sont communiquées à ces entités conformément à la loi sur la protection des données applicable, en vertu d'accords assurant la sécurité et la confidentialité des données personnelles de l'utilisateur. Pour plus d'informations, lire le paragraphe Transfert de données ci-après.

E. Accord de l'utilisateur

Le Service ne fonctionne pas et n'est pas accessible tant que les données personnelles de base n'ont pas été renseignées par l'utilisateur (cf. section Informations d'inscription ci-avant). Le Service ne peut remplir sa fonction principale (telle que décrite dans la section A ci-avant) sans ces données personnelles. Cette fonction principale représente donc un intérêt légitime tel qu'aucun accord supplémentaire n'est requis de la part de l'utilisateur pour permettre au Responsable des traitements de collecter et traiter ces données personnelles.

L'utilisateur peut refuser de fournir des données personnelles autres que les informations d'inscription obligatoires via le Service Rainbow, auquel cas il est possible qu'ALE ne soit pas en mesure de fournir certaines fonctionnalités à l'utilisateur. Si l'utilisateur n'est pas d'accord avec la Politique internationale d'ALE en matière de confidentialité ou la présente Déclaration de confidentialité des données Rainbow, l'utilisateur peut demander la suppression de son compte, désinstaller toutes les applications Rainbow et cesser d'utiliser le Service Rainbow.

L'utilisateur ou le responsable des traitements peut contacter ALE si : (i) il souhaite avoir accès aux données personnelles qu'ALE a collectées au sujet d'un utilisateur donné, (ii) il souhaite consulter et actualiser les données personnelles d'un utilisateur ou demander à tout moment la suppression de tout ou partie de ses données personnelles, (iii) s'oppose, pour des motifs légitimes, au traitement de ses données personnelles ; par ailleurs, pour toute question ou tout commentaire concernant la présente Déclaration, l'utilisateur ou le responsable des traitements peut contacter ALE par e-mail à l'adresse support@openrainbow.com ou en passant par l'agent Emily une fois connecté aux Services Rainbow. Une demande d’un Utilisateur ne sera traitée que si elle est formellement validée par le responsable des traitements.

F. Engagement d'ALE en faveur de la sécurité des données

ALE est déterminée à protéger les informations personnelles qui lui sont confiées et traite celles-ci de façon sécurisée conformément à la présente Déclaration de confidentialité des données. ALE a mis en place des mécanismes matériels, administratifs et techniques dans le but de protéger les informations personnelles contre tout accès ou toute utilisation ou divulgation non autorisé(e). ALE exige par voie contractuelle (accord de protection des données personnelles incluant les clauses contractuelles types de ses sous-traitants qu'ils protègent ces informations contre tout accès ou toute utilisation ou divulgation non autorisé(e). Cependant, il n'est pas possible de garantir une sécurité totale sur Internet, c'est pourquoi ALE ne peut pas assurer ni garantir la sécurité des informations personnelles fournies à ALE par les utilisateurs.

ALE déconseille de se connecter au Service Rainbow, de l'utiliser ou d'envoyer des messages via celui-ci en passant par un accès sans fil (wifi) non sécurisé ou un autre type de réseau non protégé. ALE fait des efforts raisonnables pour assurer la sécurité de ses systèmes et emploie une technologie de chiffrement de haut niveau pour protéger les données en transit.

Le cryptage des médias est utilisé pour protéger les données audio et vidéo (le cas échéant) que les utilisateurs transmettent pendant un appel. Lorsque les utilisateurs passent un appel, le média est crypté de l'appareil de l'utilisateur vers l'autre participant.

Le cryptage du transport est utilisé pour protéger toutes les connexions vers et depuis le Service et entre les participants aux appels audio ou vidéo. Lorsque l'utilisateur s'inscrit au Service, envoie des messages, partage des contenus ou se connecte au Service de toute autre manière, l'ALE utilise toujours le cryptage du transport.

Si un utilisateur ou client final découvre que son compte de Service Rainbow est victime d'une atteinte aux données, alors il doit en informer ALE aussitôt en écrivant à support@openrainbow.com.

G. Remarque à l'attention des utilisateurs finaux internationaux

Le Service Rainbow est hébergé dans des centres de données situés en différents endroits du monde. Pour connaitre ces endroits, nous vous invitons à suivre le lien : http://support.openrainbow.com . Par ailleurs, nous avons conclus avec les opérateurs de ces centres de données des contrats garantissant un niveau de protection des données dit adéquat lors de leurs opérations en tant qu’hébergeur, au sens GDPR. Enfin, ALEI opère les instances du Service Rainbow sur tous ces centres de données d’une manière unique et conforme au niveau de protection des données personnelles attendu par la GDPR.

Le concepteur et développeur du Service Rainbow concernant le traitement des données personnelles des utilisateurs est ALE International, société par action simplifiée française dont le siège social est situé 32 avenue Kléber, 92700 Colombes, France et inscrite au Registre du commerce et des sociétés de Nanterre sous le numéro 602 033185 RCS Nanterre. Pour plus d'informations : http://enterprise.alcatel-lucent.com.

Voir aussi: Conditions de service