Aller au contenu

Politique de Traitement des Données Personnelles – STid Mobile ID®

STid accorde une importance primordiale à la protection de la vie privée des personnes. Toute information collectée concernant des individus, lorsque vous avez décidé de fournir cette information, est destinée à nous permettre de fournir les services que vous nous avez confiés.

Les Données Personnelles collectées par STid sont protégées par la loi française sur les données (« Informatique et Libertés ») n° 78‐17 du 6 janvier 1978, modifiée en 2004 et par le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (ci‐après dénommées « Données Personnelles »).

Toutes les données de nos clients demeurent sur nos locaux et ceux de nos tiers de confiance indiqués ci‐dessous. Seuls les membres du personnel de STid ayant besoin de vos informations personnelles pour accomplir leurs tâches y ont accès. De plus, tous les employés sont sensibilisés aux pratiques actualisées qu’ils doivent respecter en matière de sécurité et de Données Personnelles.

L’utilisation du service STid Mobile ID® nécessite le traitement de Données Personnelles vous concernant ainsi que les Utilisateurs désignés dans les Conditions d’utilisation, incluant leurs employés, clients et tiers. Cependant, nous attirons votre attention sur le fait que ces Données Personnelles sont cryptées et que STid n’a pas accès au contenu des informations cryptées.

L’Utilisateur reste le responsable du traitement (tel que défini par les réglementations applicables) des Données Personnelles de ses employés, clients et tiers qu’il pourrait utiliser en lien avec l’utilisation du service STid Mobile ID®.

Avant de divulguer à STid les Données Personnelles de vos employés et/ou tiers, vous devez obtenir leur consentement préalable concernant à la fois les données collectées et les finalités envisagées. Le client dégage STid de toute responsabilité pour toute demande ou réclamation de ses employés concernant les informations que le client peut divulguer à STid en lien avec l’utilisation du service STid Mobile ID®.

1. Collecte des Données Personnelles

Les Données Personnelles collectées sur ce site (ou « Plateforme ») sont les suivantes :

Ouverture d’un compte :

Lorsqu’un compte Utilisateur est créé, la plateforme enregistre les données suivantes : titre, prénom et nom, profession, numéros de téléphone fixe et portable, numéro de fax, adresse email, numéro d’enregistrement, numéro de TVA / TVA intracommunautaire et numéro EORI pour les personnes physiques, nom du PDG, date de création, capital, profil (distributeur ou client final), site web de l’entreprise et langue préférée (français, anglais) pour communiquer avec STid.

Connexion :

Lors de la connexion de l’Utilisateur à la Plateforme, ce processus de connexion enregistre, entre autres informations, son identifiant et son mot de passe.

Profil :

L’utilisation des services proposés sur la Plateforme permet de compléter un profil qui peut inclure les données suivantes : logo, prénom et nom de l’utilisateur, adresse email et numéro de téléphone ainsi que toutes les données qu’ils souhaitent enregistrer (champs personnalisables), configuration associée au badge de l’utilisateur, type d’identifiant utilisé (privé ou STid Mobile ID+) et une photo de l’utilisateur.

Cookies :

Nous n’utilisons pas de cookies qui suivent votre activité sur différents sites web.

Les cookies sont utilisés dans le cadre de l’utilisation du site. L’Utilisateur a la possibilité de désactiver les cookies dans les paramètres de son navigateur.

Cependant, la désactivation de certains cookies risque de limiter l’utilisation de certaines fonctionnalités du site. Les cookies utilisés sur ce site sont les suivants :

Cookie d’authentification :

  • Utilisé par le framework ASP.NET Identity (OWIN).
  • Expire automatiquement après 24 heures (même si l’utilisateur utilise continuellement une application web) et après 10 minutes d’inactivité.
  • Crypté et nécessite SSL pour la transmission.

Le cookie HttpOnly est activé, ce qui réduit le risque de scripts intersites. Attribut empêchant l’accès aux cookies via les scripts du côté client.

Cookie de langue :

Utilisé pour la version linguistique non sécurisée où HttpOnly est désactivé.

Initialisé la première fois que l’utilisateur ouvre l’application Web.

2. Utilisation et conservation des Données Personnelles

L’objectif de la collecte des Données Personnelles des Utilisateurs est de fournir les services de la Plateforme, de les améliorer et de maintenir un environnement sécurisé.

Plus précisément, l’utilisation des Données Personnelles est la suivante :

  • Accès et utilisation de la Plateforme par l’Utilisateur;
  • Gestion opérationnelle et optimisation de la Plateforme;
  • Vérification, identification et authentification des données transmises par l’Utilisateur;
  • Mise en oeuvre de l’assistance aux Utilisateurs;
  • Prévention et détection des fraudes, des logiciels malveillants et gestion des incidents de sécurité;
  • Gestion des éventuels litiges avec les Utilisateurs;
  • Les utilisations décrites à l’Article 0.7 ci‐dessous en lien avec les relations avec les sous‐traitants.

Les Données Personnelles sont conservées tant que le compte reste actif. Le compte est désactivé à la demande de l’Utilisateur ou lorsque la dernière connexion au compte remonte à plus de trois ans.

3. Partage des Données Personnelles avec des tiers

Les Données Personnelles peuvent être partagées avec des entreprises tierces dans les cas suivants :

  • Si requis par la loi, la Plateforme peut transmettre des données pour agir en réponse à des réclamations faites à l’encontre de la Plateforme et pour se conformer aux procédures administratives et judiciaires;
  • Si la Plateforme est impliquée dans un cas de fusion, acquisition, transfert d’actifs ou réorganisation sous supervision judiciaire, il peut être nécessaire de transférer ou partager tout ou partie des actifs y compris les Données Personnelles. Dans un tel cas, STid informera le Responsable du Traitement avant tout transfert vers des tiers. Il incombe alors au Responsable du Traitement d’informer les Utilisateurs afin qu’ils puissent, si nécessaire, exercer leurs droits, comme mentionné à l’article 5.

4. Sécurité et confidentialité

La Plateforme met en oeuvre des mesures organisationnelles, techniques, logicielles et physiques en matière de sécurité numérique pour protéger les Données Personnelles contre toute altération, destruction ou accès non autorisé.

Toutefois, il convient de noter qu’Internet n’est pas un environnement entièrement sécurisé et que la Plateforme ne peut garantir la transmission ou le stockage sécurisé des informations via Internet.

5. Exercice des droits des Utilisateurs

Conformément à la réglementation applicable aux Données Personnelles, les Utilisateurs peuvent mettre à jour, modifier ou supprimer les données les concernant en se connectant à leur compte et en configurant les paramètres de ce compte.

De plus, en écrivant à l’adresse e‐mail : dpo@stid.com , ils peuvent exercer les droits suivants:

  • Ils peuvent supprimer leur compte ou s’opposer au traitement de leurs Données Personnelles ;
  • Ils peuvent exercer leur droit d’accès pour obtenir des informations sur les Données Personnelles les concernant. Dans ce cas, avant que ce droit ne soit exercé, STid peut demander une preuve d’identité afin de vérifier leur identité ;
  • Si les Données Personnelles détenues par la plateforme sont incorrectes, ils peuvent demander la mise à jour de ces informations ;
  • Ils peuvent demander la portabilité de leurs Données Personnelles ;
  • Ils peuvent déposer une plainte auprès de la CNIL.

6. Modifications de cette clause

La Plateforme se réserve le droit d’apporter toute modification à cette clause relative à la protection des Données Personnelles à tout moment.

Si une modification est apportée à cette clause de protection des Données Personnelles, la Plateforme s’engage à publier la nouvelle version sur la Plateforme.

La Plateforme informera également les Utilisateurs de la modification par email, dans un délai minimum de 15 jours avant la date d’effet.

Si l’Utilisateur n’est pas d’accord avec les termes de la nouvelle version de la clause de protection des Données Personnelles, il/elle a la possibilité de demander la suppression de son compte.

7. RGPD / Contrat pour le traitement des Données Personnelles

Conformément aux réglementations applicables, l’Utilisateur reste responsable du traitement des Données Personnelles de ses clients et/ou employés dans le cadre de l’utilisation des services.

Les Parties conviennent que, au regard du Règlement Général sur la Protection des Données :

  • Le Responsable du Traitement est : L’Utilisateur. Vous, l’Utilisateur, êtes responsable de la détermination de l’utilisation et de la finalité des Données Personnelles.
  • Le Sous‐traitant est : STid. STid gère vos données de manière sécurisée en votre nom, conformément à vos instructions.
  • Le Sous‐traitant de Niveau 2 est : OVH.

En raison du chiffrement des données, le Sous‐traitant et le Sous‐traitant de Niveau 2 n’ont pas accès aux détails des Données Personnelles qui seront traitées par l’Utilisateur.

Concernant les Données Personnelles, le service du Sous‐traitant délégué au Sous‐traitant de Niveau 2 est limité à fournir aux Utilisateurs des logiciels leur permettant d’entrer directement et de traiter eux‐mêmes les Données Personnelles, sans intervention de la part du Sous‐traitant ou du Sous‐traitant de Niveau 2.

Les données seront hébergées par le Sous‐traitant de Niveau 2.

Les obligations suivantes seront définies dans un acte séparé entre le responsable du Traitement des données et le Sous‐traitant de niveau 2, de sorte que le responsable du Traitement des données soit en mesure de respecter ses obligations vis‐à‐vis du responsable du Traitement des Données.

Section I. Objectif

Le but de ces clauses est de définir les conditions dans lesquelles le Sous‐traitant s’engage à effectuer pour le compte du Responsable du Traitement les opérations de traitement des Données Personnelles définies ci‐dessous.

Section II. Description du traitement effectué par le Sous-traitant

Le Sous‐traitant est autorisé à traiter, pour le compte du Responsable du Traitement, les données et les Données Personnelles nécessaires à l’utilisation de la Plateforme.

  1. – Création d’un compte associé à STid – Données hébergées sur la plateforme SAAS Cloud STid du client final/Distributeur Données Type de données Objectif STid OVH Client Titre Monsieur / Madame Utilisateur Permettre à l’utilisateur d’utiliser la plateforme Prénom Utilisateur Permettre à l’utilisateur d’utiliser la plateforme Nom Utilisateur Permettre à l’utilisateur d’utiliser la plateforme Position Utilisateur Permettre à l’utilisateur d’utiliser la plateforme Numéro de téléphone fixe Utilisateur Permettre à l’utilisateur d’utiliser la plateforme Numéro de téléphone portable Utilisateur Permettre à l’utilisateur d’utiliser la plateforme Numéro de fax Utilisateur Permettre à l’utilisateur d’utiliser la plateforme Adresse email Utilisateur Permettre à l’utilisateur d’utiliser la plateforme Nom de l’entreprise Entreprise Enregistrement comptable N° d’enregistrement Entreprise Enregistrement comptable N° de TVA Entreprise Enregistrement comptable EORI Entreprise Enregistrement comptable Dirigeant Entreprise Enregistrement comptable Date de création Entreprise Enregistrement comptable Capital Entreprise Enregistrement comptable Type d’entreprise (distributeur ou client final) Entreprise Enregistrement comptable Pays Entreprise Enregistrement comptable Adresse complète Entreprise Enregistrement comptable Site web Entreprise Enregistrement comptable Supervision et sécurité des applications 24x7x365 Sécurité d’accès à la plateforme Cryptage de la base de données Mise en oeuvre et utilisation de la plateforme Audit de sécurité trimestriel Sauvegarde externalisée cryptée Stockage des données STid « brutes » Disponibilité des données pour l’application Historisation des données STid (image MV 7 jours calendaires) Maintenance de niveau 1 -Activité GTR 24x7x365 Gestion du système d’exploitation et du matériel Support serveur client 24/7 via l’extranet du client Si un audit révèle une non-conformité, le responsable du traitement des données ou le responsable du traitement des données de niveau 2 est tenu de traiter et de corriger ces problèmes dans un délai convenu d’un commun accord Gestion des noms d’utilisateur/mots de passe Saisie de Données Personnelles
  1. – Création d’un compte associé à un sous-distributeur – Client final Données Type de données Objectif STid OVH Client Nom de l’entreprise Entreprise Permettre à l’utilisateur d’utiliser la plateforme Type d’entreprise (distributeur ou client final) Entreprise Permettre à l’utilisateur d’utiliser la plateforme Catégorie de tarification Entreprise Permettre à l’utilisateur d’utiliser la plateforme Nom Utilisateur Permettre à l’utilisateur d’utiliser la plateforme Prénom Utilisateur Permettre à l’utilisateur d’utiliser la plateforme Adresse email Utilisateur Permettre à l’utilisateur d’utiliser la plateforme Numéro de téléphone Utilisateur Permettre à l’utilisateur d’utiliser la plateforme Champs personnalisables par le client Utilisateur Permettre à l’utilisateur d’utiliser la plateforme Supervision et sécurité des applications 24x7x365 Sécurité d’accès à la plateforme Cryptage de la base de données Mise en oeuvre et utilisation de la plateforme Audit de sécurité trimestriel Sauvegarde externalisée cryptée Stockage des données STid « brutes » Disponibilité des données pour l’application Historisation des données STid (image MV 7 jours calendaires) Maintenance de niveau 1 – Activité GTR 24x7x365 Gestion du système d’exploitation et du matériel Support serveur client 24/7 via l’extranet du client Gestion des noms d’utilisateur/mots de passe Saisie de Données Personnelles
  1. – Création d’un site client

Données Type de données Objectif STid OVH Client Prénom de l’utilisateur Utilisateur Permettre à l’utilisateur d’utiliser un badge virtuel Nom de l’utilisateur Utilisateur Permettre à l’utilisateur d’utiliser un badge virtuel Configuration associée à la carte de l’utilisateur Utilisateur Permettre à l’utilisateur d’utiliser un badge virtuel Type d’ID: ID privé ou STid Mobile ID+ Utilisateur Permettre à l’utilisateur d’utiliser un badge virtuel Adresse email de l’utilisateur Utilisateur Permettre à l’utilisateur d’utiliser un badge virtuel N° de téléphone portable de l’utilisateur Utilisateur Permettre à l’utilisateur d’utiliser un badge virtuel Champ variable concernant l’utilisateur Utilisateur Permettre à l’utilisateur d’utiliser un badge virtuel Photo de l’utilisateur Utilisateur Permettre à l’utilisateur d’utiliser un badge virtuel Prénom du configurateur Utilisateur Permettre à l’utilisateur d’utiliser un badge virtuel Nom du configurateur Utilisateur Permettre à l’utilisateur d’utiliser un badge virtuel Adresse email du configurateur Utilisateur Permettre à l’utilisateur d’utiliser un badge virtuel N° de téléphone portable du configurateur Utilisateur Permettre à l’utilisateur d’utiliser un badge virtuel Champ personnalisable par le client (configurateur) Utilisateur Permettre à l’utilisateur d’utiliser un badge virtuel Logo de l’entreprise Entreprise Permettre à l’utilisateur d’utiliser un badge virtuel Supervision et sécurité des applications 24x7x365 Sécurité d’accès à la plateforme Cryptage de la base de données Mise en oeuvre et utilisation de la plateforme Audit de sécurité trimestriel Sauvegarde externalisée cryptée Stockage des données STid « brutes » Disponibilité des données pour l’application Historisation des données STid (image MV 7 jours calendaires) Maintenance de niveau 1 -Activité GTR 24x7x365 Gestion du système d’exploitation et du matériel Support serveur client 24/7 via l’extranet du client Gestion des noms d’utilisateur/mots de passe Saisie de Données Personnelles

  1. – Création d’un compte utilisateur

3

Section III. Obligations du Sous-traitant envers le Responsable du Traitement

Le Sous‐traitant s’engage à :

  • Traiter les données uniquement pour le(s) but(s) défini(s) ;
  • Traiter les données conformément aux instructions documentées du Responsable du Traitement figurant dans cette Annexe. Si le Sous‐traitant considère qu’une instruction constitue une violation du RGPD ou d’autres dispositions de droit de l’Union ou des États membres, il doit immédiatement en informer le Responsable du Traitement.

En outre, si le Responsable du traitement est tenu de transférer des données à un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le Responsable du traitement de cette obligation légale avant le traitement, à moins que le droit concerné n’interdise une telle divulgation pour des raisons importantes d’intérêt public ;

  • Garantir la confidentialité des Données Personnelles traitées ;
    • Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu des CGU : Acceptent de se conformer aux obligations de confidentialité ou sont soumises à une obligation légale appropriée de confidentialité
    • Reçoivent la formation nécessaire à la protection des Données Personnelles
    • Prennent en compte, dans leurs outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

Traitement des données :

Le Responsable du Traitement des données peut faire appel à un deuxième Responsable du Traitement des données de niveau 2 (ci‐après, le « responsable ultérieur du traitement des données de niveau 2 ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe le Responsable du Traitement à l’avance de tout changement proposé concernant l’ajout ou le remplacement d’autres Responsables du Traitement des Données.

Cette information doit indiquer clairement ce qui est externalisé, l’identité et les coordonnées du Responsable du Traitement des données ainsi que les dates du Traitement des données.

Le Responsable du Traitement dispose d’un délai minimum de huit jours à compter de la date de réception de ces informations pour présenter ses objections. Le Traitement des données ne peut être effectué que si le Responsable du Traitement n’a pas formulé d’objection dans le délai imparti.

Le sous‐traitant de niveau 2 est tenu de respecter les obligations des CGU au nom du Responsable du Traitement des données et conformément aux instructions de ce dernier. Il incombe au Responsable initial du Traitement de niveau 2 de s’assurer que le Responsable du Traitement de niveau 2 fournit les mêmes garanties suffisantes pour la mise en oeuvre de mesures techniques et organisationnelles appropriées afin de s’assurer que le Traitement répond aux exigences du Règlement Général sur la Protection des Données.

Si le sous‐traitant ultérieur de niveau 2 ne remplit pas ses obligations en matière de Protection des données, le sous‐traitant initial de niveau 2 reste entièrement responsable envers le Responsable du Traitement des données de l’exécution par le sous‐traitant ultérieur de niveau 2 de ses obligations.

Droit d’information des personnes concernées :

Le Responsable du Traitement des données est tenu d’informer les personnes concernées par le Traitement des Données au moment de la collecte des données.

Exercice des droits par les personnes concernées :

Étant donné que les données sont cryptées et que le Responsable du Traitement des données ne peut pas accéder au contenu des Données, le Responsable du Traitement des données s’acquitte de son obligation d’accéder à toute demande des personnes concernées visant à exercer leurs droits : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées demandent au Responsable du Traitement des données d’exercer leurs droits, le Responsable du Traitement des données envoie ces demandes au contrôleur des données.

Notification des violations de données à caractère personnel :

Le Responsable du Traitement des données notifie au Responsable du Traitement des données toute violation de données à caractère personnel par courrier électronique dans un délai de 24 heures à compter de la date à laquelle il en a été informé.

Cette notification est accompagnée de tout document utile permettant au Responsable du traitement d’informer l’Autorité de contrôle compétente de cette violation.

Assistance du responsable du traitement des données dans l’accomplissement de ses obligations par le responsable du traitement des données :

Le Responsable du Traitement des données aide le Responsable du Traitement des données à réaliser des analyses d’impact sur la protection des données.

Le Responsable du Traitement des données aide le Responsable du Traitement des données à procéder à la consultation préalable de l’autorité de contrôle.

Mesures de Sécurité :

Le Sous‐traitant accepte de mettre en oeuvre les mesures de sécurité suivantes :

  • Contrôle d’accès physique : au niveau d’OVH.
  • Contrôle d’accès logique : accès à la plateforme en mode Administrateur uniquement après authentification de pool IP autorisé, et cryptage des données.

Répartition des rôles fonctionnels de la solution STid Mobile ID :

En outre, les deux éléments fonctionnels de la solution STid Mobile ID, à savoir la plateforme web et l’ajout de pseudonymes (noms d’utilisateur), le cryptage et l’authentification des Données Personnelles.

Authentification des personnes ayant accès à la plateforme avec différents niveaux d’accès : Seules les personnes authentifiées peuvent lire/modifier/supprimer les Données Personnelles en fonction des droits qui leur sont attribués.

Personnalisation des clés de protection pour chaque entité (les revendeurs/sous-revendeurs :

Ne peuvent accéder qu’à leurs comptes et disposent de leur propre jeu de clés de protection).

Répartition des rôles de gestion de la base de données :

Le Super Administrateur n’a pas connaissance des clés de protection de chaque revendeur et ne peut pas interpréter les données gérées par la base de données et le gestionnaire de la base de données n’a pas connaissance de la clé maîtresse de la base de données.

Toutes les données des utilisateurs sont signées et authentifiées, ce qui permet de les protéger contre la corruption et la falsification.

La disponibilité de ces données est soumise au SLA d’OVH.

Le temps de restauration de l’accès à ces données est également soumis au SLA de l’OVH et en fonction de l’historique d’utilisation de la Machine Virtuelle.

Données de sortie :

A l’issue des services liés au traitement de ces données, le Responsable du Traitement des données s’engage à :

  • Détruire toutes les données à caractère personnel ou
  • Retourner toutes les données à caractère personnel au Responsable du Traitement ou
  • Retourner les données à caractère personnel au Responsable du Traitement des données désigné par le Responsable du Traitement des données.

La restitution doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du responsable du traitement. Une fois détruites, le responsable du traitement doit fournir une preuve écrite de la destruction.

Registre des catégories d’activités de traitement :

Le Responsable du Traitement des données tient un registre écrit de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable du Traitement des données, y compris :

  • Le nom et les coordonnées du responsable du traitement pour le compte duquel il agit, de tout sous‐traitant et, le cas échéant, du délégué à la protection des données;
  • Les catégories de traitement effectuées pour le compte du contrôleur des données;
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, du règlement général sur la protection des données, les documents prouvant l’existence de garanties appropriées;
    • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles y compris, entre autres, le cas échéant : Une anonymisation et le cryptage des données à caractère personnel;
    • Des mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
    • Des mesures visant à rétablir rapidement la disponibilité des données à caractère personnel et l’accès à celles‐ci en cas d’incident physique ou technique ;
    • Une procédure pour tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.
    • Documents :

Le Responsable du Traitement des Données fournit au Responsable du Traitement des Données la documentation nécessaire pour démontrer qu’il respecte ses obligations et pour permettre au Responsable du Traitement des Données ou à un autre auditeur engagé par le Responsable du Traitement des Données d’effectuer des audits et des inspections et de contribuer à ces audits.

Notification des violations de Données Personnelles :

Le Sous‐traitant informe le Responsable du Traitement de toute violation de Données Personnelles par email dans les 24 heures suivant l’incident. Cette notification inclut les informations utiles pour permettre au Responsable du Traitement de notifier l’autorité de contrôle compétente.

Section IV. Obligations du Responsable du Traitement envers le Sous-traitant

Le Responsable du Traitement s’engage à :

  • Fournir les Données énoncées dans la Section II de ces clauses ;
  • Documenter par écrit toute instruction concernant le traitement des Données par le Sous‐traitant ;
  • S’assurer de la conformité des obligations du RGPD par le Sous‐traitant ;
  • Surveiller le traitement y compris en menant des audits et des inspections auprès du Sous‐traitant.

Besoin d'aide ? Contactez-nous

Vous recherchez encore des informations sur nos produits ? Commencez par consulter notre FAQ.
Vous n’avez toujours pas trouvé la réponse à votre question ? N’hésitez pas à nous contacter