Vanderbilt International Data Protection Policy – SPC Connect

Date : 17/04/2018

Version 0.1

La présente politique de confidentialité présente la façon dont Vanderbilt International GmbH et ses filiales (ci-après, « Vanderbilt » ou « nous ») collectent, conservent, utilisent, divulguent, partagent et transmettent les informations qui vous concernent.

NOUS VOUS RECOMMANDONS DE PRENDRE ATTENTIVEMENT CONNAISSANCE DE LA PRÉSENTE DÉCLARATION DE CONFIDENTIALITÉ AVANT D’UTILISER L’ENSEMBLE DU SITE INTERNET, DU LOGICIEL ET DES SERVICES DE VANDERBILT (CI-APRÈS COLLECTIVEMENT, LES « SERVICES VANDERBILT »). L’UTILISATION DES SERVICES DE VANDERBILT VAUT ACCEPTATION DES PRÉSENTES RÈGLES DE CONFIDENTIALITÉ ET DU RECUEIL, DU STOCKAGE, DE L’UTILISATION, DE LA DISTRIBUTION, DU PARTAGE ET DU TRANSFERT DE VOS DONNÉES CONFORMÉMENT AUX PRÉSENTES. NOUS SOMMES SUSCEPTIBLES DE MODIFIER À TOUT MOMENT LA PRÉSENTE POLITIQUE DE CONFIDENTIALITÉ, SOUS RÉSERVE QUE CERTAINES DE SES DISPOSITIONS SE RÉVÈLENT INCOMPLÈTES OU OBSOLÈTES ET QUE DE TELLES MODIFICATIONS PRÉSENTENT UN INTÉRÊT RAISONNABLE. DANS LE CAS OÙ NOUS APPORTERIONS DES MODIFICATIONS SIGNIFICATIVES À LA PRÉSENTE DÉCLARATION DE CONFIDENTIALITÉ, NOUS EN PUBLIERONS LA NOUVELLE VERSION SUR NOTRE SITE INTERNET QUI ENTRERA IMMÉDIATEMENT EN VIGUEUR.

Introduction

Le présent document vise à fournir une déclaration concise des règles concernant les obligations en matière de Protection des données de Vanderbilt International à l’égard du produit SPC Connect. Il s’agit notamment de nos obligations en matière de traitement des données à caractère personnel en vue de garantir que nous nous conformons aux exigences de la législation applicable, à savoir le règlement général sur la protection des données de l’UE (ci-après, le « RGPD UE » : https://www.eugdpr.org/).

Justification

Vanderbilt International doit se conformer aux principes de Protection des données énoncés dans la législation concernée. Les présentes Règles s’appliquent à toutes les Données personnelles recueillies, traitées et stockées par Vanderbilt International concernant ses fournisseurs de services et ses clients dans le cadre de ses activités.

Champ d’application

Les règles concernent à la fois les données à caractère personnel et les informations personnelles sensibles des personnes concernées. En outre, elle couvre de la même façon les données à caractère personnel obtenues et conservées au moyen d’un traitement manuel ou automatisé.

Vanderbilt International traitera avec autant d’attention les données à caractère personnel que les informations personnelles sensibles. Ces deux catégories sont dénommées ci-après « Données personnelles » dans les présentes règles sauf indication contraire.

Il convient de lire les présentes règles en association avec la procédure de Demande d’accès par la personne concernée connexe, le Règlement en matière de conservation et de destruction des données, la Liste des délais de conservation des données et la procédure de Notification de perte de données.

Vanderbilt en qualité de responsable du traitement

Dans le cadre de ses activités structurelles quotidiennes, Vanderbilt acquiert, traite et conserve des données à caractère personnel qui se rapportent aux :

  • Clients de Vanderbilt
  • Les fournisseurs de services tiers qui collaborent avec elle

Conformément aux dispositions du RGPD UE, de telles données doivent être acquises et gérées de façon loyale. Vanderbilt n’attendra pas de tous les membres de son personnel qu’ils soient des experts en matière de législation sur la protection des données. Toutefois, nous nous engageons à faire en sorte que notre personnel présente un degré de connaissance suffisant de la législation dans le but de pouvoir anticiper et identifier, le cas échéant, un problème de protection des données. Dans ces circonstances, le personnel doit informer le Délégué à la protection des données afin de garantir la prise de mesures correctives appropriées.

En raison de la nature des services que nous fournissons, nous échangeons de façon régulière et active des données à caractère personnel avec des personnes concernées. En outre, nous échangeons des données à caractère personnel avec des sous-traitants au nom des personnes concernées.

Il s’agit d’une pratique conforme aux obligations qui nous incombent en vertu des contrats que nous concluons avec nos sous-traitants.

La présente politique fournit les lignes directrices applicables à un tel échange d’informations ainsi que la procédure à suivre dans le cas où un membre du personnel de Vanderbilt ne saurait pas si les données en question peuvent faire l’objet d’une divulgation.

De façon générale, les membres du personnel sont censés se rapprocher du délégué à la protection des données pour obtenir des précisions.

Demandes d’accès des personnes concernées

Toute demande officielle écrite d’une Personne concernée demandant une copie de ses données personnelles (Demande d’accès par la personne concernée) sera transmise, dès que possible, au Délégué à la protection des données et sera traitée dans les plus brefs délais conformément au RGPD.

En se conformant à de telles dispositions, Vanderbilt entend adhérer aux meilleures pratiques en matière de législation sur la protection des données.

Sous-traitants tiers

Dans le cadre de sa mission de responsable du traitement, Vanderbilt engage un certain nombre de sous-traitants pour traiter des données à caractère personnel en son nom. En tout état de cause, le sous-traitant et le responsable du traitement concluent un contrat écrit formel qui stipule leurs obligations respectives en matière de données à caractère personnel, la ou les finalités spécifiques pour lesquelles le sous-traitant est engagé ainsi que son accord quant au fait qu’il traitera les données conformément aux dispositions du RGPD.

Parmi ces sous-traitants figurent :

  • Le personnel d’assistance interne de Vanderbilt
  • Atos IT Solutions et Services AB
  • Chargebee
  • Salesforce – Personnel commercial interne Vanderbilt
  • Passerelle de paiement Stripe
  • Passerelle de paiement Adyen

Pour les clients qui fonctionnent avec le système d’entreprise SPC

Paiements

Nous pouvons fournir des produits et/ou des services payants en lien avec le Service. Dans un tel cas, nous avons recours à des services de tiers pour traiter des paiements (p. ex., des prestataires de services de paiement).

Nous ne conserverons ni ne collecterons vos informations de carte de paiement. De telles informations sont fournies directement à nos prestataires de services de paiement tiers, dont la politique de confidentialité régit l’utilisation de vos informations personnelles. Lesdits prestataires de services de paiement respectent les exigences définies par la norme PCI-DSS telle qu’administrée par le Conseil des normes de sécurité PCI, qui est une initiative commune de marques Visa, Mastercard, American Express et Discover. Les exigences PCI-DSS permettent de garantir la sûreté du traitement des informations de paiement.

Les prestataires de services de paiement avec lesquels nous travaillons sont :

Stripe : leur politique de confidentialité est consultable à l’adresse https://stripe.com/us/privacy

Chargebee : https://www.chargebee.com/security/gdpr/#chargebee-as-a-data-processor

Adyen : https://www.adyen.com/policies-and-disclaimer/applicant-privacy-notice

Principes de protection des données

Les principes fondamentaux suivants sont inscrits dans les dispositions du RGPD et déterminent la politique de protection des données de Vanderbilt.

En sa qualité de responsable du traitement, Vanderbilt veille à ce que toutes les données :

1.... soient obtenues et traitées de façon loyale et licite.

Pour que les données soient obtenues de manière loyale, au moment de la collecte des données, la personne concernée sera informée :

  • L’identité du responsable du traitement, c’est-à-dire Vanderbilt
  • La ou les finalités pour lesquelles les données sont collectées
  • La ou les personnes à qui le responsable du traitement peut divulguer les données
  • Toute autre information nécessaire permettant de garantir le caractère loyal du traitement.

Vanderbilt respectera cette obligation de la façon suivante :

  • Nous solliciterons, dans la mesure du possible, le consentement éclairé de la personne concernée avant de traiter ses données ;
  • Si nous sommes dans l’impossibilité de solliciter un consentement, nous veillerons à ce que la collecte des données soit justifiée en vertu de l’une des autres conditions de traitement licite, telles qu’une obligation légale, une nécessité contractuelle, etc. ;
  • Si nous envisageons d’enregistrer une activité sur vidéosurveillance ou sur vidéo, nous afficherons un avis de traitement loyal de façon parfaitement visible ;
  • Nous ne traiterons des données à caractère personnel que dans le cadre de nos activités légales et nous protégerons les droits et libertés de la personne concernée ;
  • Nous ne divulguerons des données de personnes concernées à aucun tiers autre qu’à une partie avec laquelle nous avons signé un contrat et qui agit en notre nom.

2.... ne soient obtenues que pour une ou plusieurs finalités déterminées et légitimes.

Vanderbilt International obtiendra des données à des fins déterminées, licites et clairement énoncées. Chaque personne concernée sera en droit de nous interroger sur la ou les finalités pour lesquelles nous détenons ses données et nous serons en mesure les exposer de façon parfaitement explicite.

3.... ne soient pas traitées d’une façon incompatible avec la ou les finalités déterminées.

Toute utilisation de données par nos soins sera compatible avec les finalités pour lesquelles nous les avons acquises.

4.... soient conservées en lieu sûr.

Nous appliquerons des normes de sécurité élevées dans le but de protéger les données à caractère personnel qui nous sont confiées. En notre qualité de responsable du traitement, nous prendrons des mesures de sécurité appropriées pour protéger toutes les données à caractère personnel que nous détenons contre des accès non autorisés ou une altération, une destruction ou une divulgation.

L’accès aux enregistrements relatifs à notre personnel et à nos clients ainsi que la gestion de ceux-ci seront limités aux membres de notre personnel disposant d’une autorisation et d’un mot de passe d’accès appropriés.

5.... soient exactes, complètes et tenues à jour si nécessaire.

Vanderbilt :

  • veillera à mettre en place des procédures de validation administratives et informatiques dans le but de procéder à des évaluations régulières du caractère exact des données ;
  • procédera à des examens et des vérifications périodiques dans le but de s’assurer que les données pertinentes sont exactes et tenues à jour. Nous procèderons à l’examen d’un échantillon de données tous les six mois de sorte à vérifier leur exactitude. Les coordonnées du personnel et les informations relatives aux plus proches parents feront l’objet d’un examen et d’une mise à jour tous les deux ans.
  • procèdera à des évaluations régulières dans le but de justifier le besoin de conserver certaines données à caractère personnel.
  • 6.... soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la ou des finalités pour lesquelles les données sont collectées et traitées. Vanderbilt veillera à ce que les données qu’elle traite à l’égard des personnes concernées soient pertinentes au regard des finalités pour lesquelles celles-ci sont collectées. Les données qui ne sont pas pertinentes au regard des finalités du traitement en question ne seront pas acquises ou conservées.
  • 7.... ne soient pas conservées plus longtemps que la durée nécessaire pour satisfaire la ou les finalités déterminées. Vanderbilt a défini une matrice détaillée de catégories de données qui prévoit une durée de conservation appropriée pour chacune d’entre elles. La matrice s’applique aux données obtenues et conservées au moyen d’un traitement manuel et automatisé. Une fois la durée de conservation écoulée, nous nous engageons à détruire, effacer ou rendre inutilisables les données en question.
  • 8.... soient gérées et conservées de telle sorte que, si une personne concernée soumet une demande d’accès valable en vue d’obtenir une copie de ses données à caractère personnel, lesdites données puissent facilement être récupérées et fournies.

Vanderbilt a mis en place une procédure de demande d’accès des personnes concernées dans le but de gérer de façon efficace et en temps opportun de telles demandes, et ce, dans les délais prévus par la législation.

Demandes d’accès de personnes concernées

Dans le cadre des activités quotidiennes de Vanderbilt, notre personnel échange de façon active et régulière des informations avec des personnes concernées. Lorsqu’une personne concernée soumet une demande formelle en lien avec les données que nous détenons, une telle demande confère des droits d’accès à la personne concernée.

Nous sommes tenus de répondre à la personne concernée sous des délais précis en fonction de la nature et de l’étendue de sa demande. Ceux-ci sont décrits dans le processus de Demande d’accès par la personne concernée.

Notre personnel veillera, le cas échéant, à transmettre en temps opportun lesdites demandes au délégué à la protection des données qui les traitera aussi rapidement et efficacement que possible conformément aux dispositions du RGPD.

Mise en œuvre

En qualité de responsable du traitement, Vanderbilt veille à ce que toute entité qui traite des données à caractère personnel en son nom (un sous-traitant) y procède de façon conforme à la législation sur la protection des données.

Tout manquement d’un sous-traitant à gérer nos données de façon conforme sera considéré comme une violation du contrat qui nous lie et nous engagerons des poursuites contre lui devant les tribunaux.

Tout manquement de notre personnel à traiter des données à caractère personnel conformément à la présente politique pourra entraîner des procédures disciplinaires.

Modifications de la présente politique de confidentialité

Si nous apportons des modifications substantielles à notre politique de confidentialité susceptibles de vous affecter, nous publierons de façon visible un avis de modification sur notre site Internet sous un délai raisonnable avant que la modification entre en vigueur. Nous vous recommandons de vérifier la politique de confidentialité de façon régulière afin de vous tenir informé de toute modification éventuelle.

Quels types d’informations collectons-nous ?

Les utilisateurs de SPC Connect doivent saisir les informations obligatoires suivantes pendant le processus d’inscription :

  • Nom d’utilisateur
  • Mot de passe
  • Prénom et nom
  • E-mail
  • Langue
  • Question de sécurité

Outre les informations susmentionnées, l’utilisateur peut également remplir les champs facultatifs suivants pendant le processus d’inscription :

  • Autres noms
  • Adresse
  • Code postal
  • Téléphone

Pendant le fonctionnement de SPC Connect, les informations suivantes peuvent aussi être liées à votre compte.

  • Identifiants de téléphone mobile (pour les notifications Push)
  • Coordonnées de l’entreprise d’installation
  • Informations de contrôle d’accès (image de l’utilisateur, coordonnées de carte, PIN, droits de l’utilisateur)
  • Données de vérification d’alerte (informations audio et/ou vidéo)
  • Informations d’audit

Pour les clients qui utilisent le modèle d’entreprise SPC Connect

  • Informations de carte de crédit
  • Coordonnées bancaires
  • Adresse de facturation
  • Nombre de centrales SPC utilisées

De quelle façon utilisons-nous ces informations ?

Nous utilisons les informations collectées pour fournir une interface sécurisée à vos systèmes SPC ; votre entreprise d’installation se sert également de vos informations pour offrir des services et pour vous aider.

Où et de quelle façon vos informations sont-elles conservées ?

Vos informations sont conservées au sein l’UE et ne seront pas transférées en dehors de ce territoire. Toutes les données d’informations SPC Connect sont hébergées dans une base de données Nous effectuons des sauvegardes régulières de la base de données. Les données à caractère personnel ne sont pas dupliquées sur un autre système ou utilisées pour une quelconque autre finalité. L’accès à la base de données est strictement protégé au moyen de mots de passe. Seuls les ingénieurs en logiciels de Vanderbilt ayant le besoin absolu d’accéder à la base de données sont autorisés à le faire. Chaque accès n’est exclusivement autorisé que dans le but de gérer et de contrôler le système ou à des fins de débogage indispensables.

Pendant combien de temps vos données sont-elles conservées ?

Toutes les informations sont sauvegardées tant que l’utilisateur garde son compte actif sur SPC Connect. L’utilisateur peut supprimer son compte à tout moment. Une fois le compte supprimé, toutes les informations d’utilisateur sont supprimées, mais des informations connexes peuvent contenir des liens vers l’utilisateur « supprimé », par exemple, dans les journaux d’audit. Seul le nom d’utilisateur sera utilisé pour atteindre ces informations. Si un utilisateur SPC n’accède pas à son compte pendant 2 ans, le propriétaire du compte sera contacté. Si celui-ci n’accède pas à son compte pendant la période de préavis, le compte sera supprimé.

De quelle façon vos données sont-elles protégées ?

L’accès à la base de données est strictement protégé au moyen de mots de passe. Seuls les ingénieurs en logiciels de Vanderbilt ayant le besoin absolu d’accéder à la base de données sont autorisés à le faire. Chaque accès n’est exclusivement autorisé que dans le but de gérer et de contrôler le système ou à des fins de débogage indispensables.

De quelle façon obtenons-nous vos informations ?

Les utilisateurs SPC Connect saisissent des données manuellement par le biais de l’interface web.

Sur quelle base juridique repose le traitement de vos données à caractère personnel ?

Les utilisateurs acceptent les « Conditions générales » et le « Règlement de protection des données » du compte SPC Connect lors de l’inscription ; l’application leur permet de supprimer leurs données personnelles.

Lors de l’utilisation de certains services dans SPC Connect, des utilisateurs « installateurs » peuvent saisir des informations sur les « utilisateurs finaux » sans leur consentement explicite. Dans un tel cas de figure, il appartient aux utilisateurs de type « installateur » d’obtenir le consentement des « utilisateurs finaux » et de gérer leurs données.

De quelle façon pouvez-vous gérer, supprimer ou modifier les informations qui vous concernent ?

Un utilisateur peut gérer, supprimer ou rectifier son compte à tout moment dans l’application SPC Connect. Vos informations sont supprimées de la façon susmentionnée. Si vous souhaitez consulter ou supprimer vos données, vous devez renseigner le formulaire en ligne à l’adresse https://vanderbiltindustries.com/requestmyinfo

De quelle façon pouvez-vous demander un accès à vos données ?

Si vous souhaitez consulter ou supprimer vos données, vous devez renseigner le formulaire en ligne à l’adresse https:/vanderbiltindustries.com/requestmyinfo.

Politique de confidentialité applicable aux enfants

Vanderbilt n’a pas prévu que des mineurs de moins de 16 ans ou dont l’âge est inférieur au minimum équivalent dans leur pays utilisent une partie de ses services Vanderbilt ; cette utilisation est interdite. Si nous apprenons qu’un compte est rattaché à un utilisateur enregistré de moins de 16 ans, ou d’un âge minimum équivalent dans son pays respectif, nous supprimerons immédiatement les informations associées au compte en question. Si vous êtes le parent ou le tuteur d’un enfant de moins de 16 ans ou d’un âge minimum équivalent dans votre pays et que vous pensez que votre enfant nous a fourni des informations personnelles, veuillez nous contacter par téléphone ou par e-mail via les coordonnées du service d’assistance Vanderbilt de votre pays. Un parent ou un tuteur d’un enfant de moins de 16 ans ou d’un âge minimum équivalent dans un quelconque pays peut passer en revue et demander la suppression des informations personnelles relatives à son enfant et en interdire l’utilisation.

Activités internationales

Vous acceptez nos pratiques en matière d’informations, y compris la collecte, la conservation, l’utilisation, le traitement et la divulgation de vos données de la façon décrite dans la présente politique de confidentialité ainsi que le transfert et le traitement de vos données vers des pays dans lesquels nous disposons de ou avons recours à des installations, des prestataires de services ou des partenaires, et ce, indépendamment du pays dans lequel vous utilisez nos services. Vous reconnaissez que les lois, les règlements et les normes du pays dans lequel vos informations sont conservées ou traitées peuvent différer de celles de votre pays. Au sein de l’Espace économique européen (EEE), nous conservons et traitons vos données à caractère personnel dans l’EEE sous un format crypté, même si nous utilisons des données conservées par des tiers. Nous ne transférerons aucune données en dehors de l’EEE.

Informations de contact

Pour poser des questions ou apporter des commentaires sur s présentes Règles de confidentialité et nos pratiques de confidentialité, veuillez contacter https://www.spcsupportinfo.com/SPCConnectPro/forms/connect-query/

Définitions

  • Afin d’éviter toute ambiguïté, et pour des raisons de cohérence terminologique, les définitions suivantes s’appliqueront dans le cadre de la présente politique.
DonnéesCe terme désigne les données obtenues et conservées au moyen d’un traitement manuel ou automatisé. Les données obtenues au moyen d’un traitement automatisé désignent les données enregistrées sur un ordinateur ou conservées dans l’intention de les traiter sur ordinateur. Les données obtenues au moyen d’un traitement manuel désignent les données traitées dans le cadre d’un fichier pertinent ou conservées dans l’intention de faire partie d’un fichier pertinent.
Données à caractère personnelInformations relatives à une personne vivante qui peut être identifiée directement à partir desdites données ou indirectement en lien avec d’autres données susceptibles d’entrer en possession légitime du responsable du traitement. (En cas d’ambiguïté, Vanderbilt se réfère à la définition émise par le groupe de travail « Article 29 » et mise à jour de façon ponctuelle.)
Données à caractère personnel sensiblesIl s’agit d’une catégorie spécifique de données à caractère personnel qui concerne : l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, idéologiques ou philosophiques, l’appartenance syndicale, les informations relatives à la santé mentale ou physique, les informations relatives à l’orientation sexuelle, les informations relatives à la commission d’un crime et les informations relatives à une condamnation pour infraction pénale.
Responsable du traitementUne personne ou une entité qui, seule ou conjointement avec d’autres, contrôle le contenu et l’utilisation de données à caractère personnel en déterminant les finalités et les moyens au titre desquels lesdites données à caractère personnel sont traitées.
Personne concernéeUne personne vivante qui est concernée par les données à caractère personnel, c’est-à-dire à qui les données se rapportent directement ou indirectement.
Sous-traitantUne personne ou une entité qui traite des données à caractère personnel pour le compte d’un responsable du traitement sur la base d’un contrat écrit formel, mais qui n’est pas un employé du responsable du traitement et qui traite lesdites Données dans le cadre de son emploi.
Délégué à la protection des donnéesUne personne nommée par Vanderbilt en vue de surveiller la conformité avec la législation applicable sur la protection des données, de traiter les demandes d’accès des personnes concernées et de répondre aux demandes de protection des données des membres du personnel et des bénéficiaires des services.
Fichier pertinentTout ensemble d’informations se rapportant à des personnes vivantes qui ne sont pas traitées au moyen d’équipements fonctionnant de façon automatisée (ordinateurs) et qui sont structurées, par référence à des personnes ou par référence à des critères relatifs aux personnes, de telle façon que des informations spécifiques relatives à une personne sont facilement récupérables.