Politique de protection des données personnelles de la société KAYO

Important

La présente Note a pour objet de remplir l’obligation d’information prévue par les article 6 et 13 du Règlement Européen sur la protection des données personnelles (RGPD 2016 :679 du 27 avril 2016).

Elle émane de la société Kayo, agissant en qualité de Sous-Traitant, pour le compte de l’Exposant, agissant en qualité de Responsable du Traitement au sens dudit Règlement.

 

EXPOSE PRELIMINAIRE

KAYO est une startup de marketing événementiel au premier rang desquels figurent les Salons professionnels.

Elle propose aux Exposants un Service informatique leur permettant de partager leur documentation et de générer des contacts qualifiés avec leurs Prospects et Clients.

Ce Service est délivré aux Exposants pour leur compte exclusif.

Sa délivrance s’opère sur deux catégories de supports :

  • Des supports visibles par le Client (Front Office)

Il s’agit de matériels mobiles telles les bornes, tablettes, ordinateurs portables, etc.

  • Des supports non visibles par le par le client (Back Office)

Il s’agit de serveurs accessible en mode SaaS, hébergés dans le nuage informatique (cloud computing)

Au sens du RGPD :

  • Le Client de Kayo (l’Exposant) à la qualité de Responsable du Traitement, puisqu’il est le seul à déterminer l’ampleur des moyens à mettre en œuvre, et la finalité du traitement des données collectées à l’aide des outils fournis par Kayo

Il est en outre le seul utilisateur des données collectées.

  • Kayo a la qualité de Sous-Traitant, sans toutefois jamais exploiter les données collectées à l’aide des outils qu’elle fournit.

Les développements qui suivent, s’attachent à préciser la politique de protection des données personnelles collectées par l’Exposant, à l’aide des outils fournis par Kayo.

Ces dispositions sont prises, sans préjudice de la politique de protection des mêmes données, que l’Exposant, Responsable du Traitement, est tenu d’adopter aux mêmes fins.

Les développements qui suivent s’organisent en trois parties :

  • Eléments communs à tous les supports (A)
  • Eléments spécifiques aux supports fixes (B)
  • Eléments spécifiques aux supports mobiles (C)

 

A - ELEMENTS COMMUNS A TOUS LES SUPPORTS

 

  1. Nom et coordonnées de l’Exposant, Responsable du Traitement

 Dénomination sociale

Prise en la personne de son représentant légal

Forme juridique                                     

Siège Social                                              

N° de RCS                                  

Tel                                                               

Courriel                                     

               

Remarque importante

Il peut arriver que l’Exposant délègue l’utilisation des outils fournis par Kayo, à une autre entreprise.

En ce cas, c’est cette entreprise qui doit être considérée comme ayant la qualité d’Exposant au sens du présent document, et par conséquent celle de Responsable du Traitement.

 

  1. Sous-Traitant

Société Kayo (par abréviation dans le présent document « Kayo »)

Prise en la personne de son Directeur Général M. Nicolas Gendrot

SAS au capital de 114 631€

RCS Rouen : 753 315 647

6 rue Morand 76000 Rouen

Tel : 02 78 77 50 00

www.kayo.fr

Courriel : info@kayo.fr

 

  1. Catégories de données traitées

Sauf exception particulière, les données traitées à l’aide des applications Kayo sont généralement les suivantes : Identifiant, mot de passe, nom et prénom, fonction, adresse mail, téléphone professionnel fixe, téléphone professionnel mobile, Cookies, documents, compte Rendu d’Activité

 

  1. Utilisation des données traitées

Finalité  

Sauf exception particulière, la finalité des traitements opérés à l’aide des applications Kayo est à titre principal la gestion des prospects et des clients

Confidentialité

Kayo s’oblige à conserver aux données collectées, un caractère strictement confidentiel et s’interdit d’en faire quelque usage que ce soit, à l’exception des opérations de maintenance du système, ou d’anonymisation

 

  1. Destinataires des données traitées

Les salariés et collaborateurs autorisés par l’Exposant sont les seuls destinataires des données traitées.

 

  1. Durée de conservation des données

A défaut d’instructions contraires de la part de l’Exposant, les données sont effacées au plus tard dans les 12 mois qui suivent la manifestation au cours de laquelle elles ont été collectées.

 

  1. Droits de l’utilisateur : accès, rectification, opposition, portabilité, limitation, effacement

Opposition

Les Données Personnelles collectées automatiquement (notamment l'adresse IP et cookies) permettent de réaliser des statistiques relatives à la consultation des pages web des Services et de les lier au compte utilisateur.

La personne concernée, dispose par conséquent d'un droit d'opposition à ce traitement accessible lorsqu’elle est connectée à son compte.

Cette opposition sera liée à son compte utilisateur et sera valable quel que soit le terminal à partir duquel elle accède à son compte.

Suppression du compte

La personne concernée peut demander la suppression de son compte.

Ses données personnelles seront supprimées et toutes les éventuelles contributions qu’elle aura pu apporter (commentaires, questions, réponses) seront anonymisées.

Accès, rectification, effacement, limitation, retrait du consentement

La personne concernée dispose des droits d'accès, de rectification, d'effacement, d'opposition ou de limitation du traitement de ses données et de retrait de son consentement.

Elle peut également donner des directives à Synalabs (voir ci-dessous le rôle et les coordonnées de cette société) concernant l'utilisation de ses données après son décès.

Modalités d’exercice de l’ensemble des droits décrits ci-dessus par la personne concernée

La personne concernée peut exercer ses droits à tout moment de la manière suivante :

  • Par voie électronique, en envoyant une demande via l’adresse suivante :

info@kayo.fr

               Ou

  • Par voie postale à l'adresse suivante :
    • Société SYNALAB
    • SARL au capital de 11500 euros
    • RCS Paris : 502 178 429
    • 103, rue de Réaumur
    • 75002 Paris

Il pourra lui être demandé de justifier de son identité.

Elle a également le droit d'introduire une réclamation à l’encontre du Responsable du Traitement, de Kayo et de ses sous-traitants auprès de l'autorité de contrôle française, la CNIL.  www.cnil.fr

 

B - PROTECTION DES DONNEES SUR SUPPORT FIXE

 

  1. Protection des données traitées

Au titre des mesures techniques

L’infrastructure technique du Système d’Information de la société Kayo fait l’objet d’un contrat d’infogérance conclu avec

Société SYNALABS

SARL au capital de 11500 euros

RCS Paris : 502 178 429

103, rue de Réaumur

75002 Paris

 

Au regard du RGPD cette société a la qualité de Sous-Traitant de la société Kayo.

Celle-ci concerne aussi bien les opérations de traitement que les mesures techniques de protection des données personnelles collectées à l’aide des applications Kayo.

La politique de protection des données personnelles mise en œuvre par l’Exposant s’exerce donc via son sous-traitant de premier rang, la société Kayo, et son sous-traitant de second rang, la société SYNALABS.

C’est pourquoi sont reproduites ci-dessous en italique, les obligations souscrites par SYNALABS dans les termes du contrat d’infogérance précité

Article 7. Protection des données du Client

Confidentialité

Les informations concernant le Client ou relatives à son activité dont la Société aura connaissance à l'occasion de sa mission seront strictement confidentielles et devront être conservées en utilisant les mêmes moyens et procédés que ceux utilisés pour ses propres informations confidentielles. Elles ne pourront être divulguées et/ou communiquées à des tiers sans l'autorisation écrite préalable de la partie sauf à ce que cette divulgation ou communication s'impose à la Société en application des articles 434-1 et 434-3 du Code Pénal.

Données à caractère personnel

La Société est informée que le Système informatique exploité au titre du Contrat traite notamment des données à caractère personnel.

A cet égard, il est expressément stipulé entre les parties que le Client demeure le seul responsable du traitement et conserve l'entière maîtrise de sa base de données, la Société n'agissant qu'en qualité de sous-traitant au sens des dispositions légales relatives à la protection des données à caractère personnel.

Dans le cadre de l'exécution du Contrat, la Société s’engage à respecter la finalité du traitement, à agir exclusivement pour le compte du Client, sur la base des stipulations du Contrat et des seules instructions du Client et conformément à ces dernières (pas d’exploitation pour ses besoins propres ou pour le compte de tiers).

Elle s’engage à respecter les obligations prévues dans le Règlement européen 2016/679 concernant les sous-traitants et notamment ses articles 28 et 29.

Elle s’engage en particulier :

- Si elle met en œuvre directement les traitements (collecte, stockage, etc.), à ce que ceux-ci s’opèrent sur le territoire de l’un des pays membres de l’Union européenne ;

  • Si elle fait appel à un sous-traitant, à s’assurer, y compris par voie contractuelle, que les traitements (collecte, stockage, etc.) s’opèrent sur le territoire de l’un des pays membres de l’Union européenne ;
  • Si elle fait appel à un sous-traitant à la demande du Client, elle assiste le Client dans la mesure de ses moyens pour celui-ci obtienne de telles garanties, y compris contractuelles.

De façon générale, tout recours à la sous-traitance par la Société, ne pourra se faire qu’avec l’accord préalable du Client et la Société devra s’assurer que les obligations prévues aux présentes conditions générales se retrouvent également dans le contrat avec son sous-traitant.

Sécurité

Conformément à la réglementation en vigueur, la Société s’engage à prendre toutes précautions utiles afin de préserver la sécurité des informations traitées à l’occasion de leur reconnaissance et notamment de les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, altération, diffusion ou accès non autorisés. Cet engagement comprend le fait d’utiliser un environnement logiciel et matériel comprenant les patchs de sécurité disponibles et les dispositifs destinés à lutter contre les logiciels malveillants connus et à mettre en œuvre le cas échéant les procédures conformes à l’état de l’art en matière de sécurité (chiffrement des bases de données, etc.).

Conformément au Règlement européen 2016/679, la Société aide le Client à garantir le respect des obligations afférentes notamment à la sécurisation, compte tenu de la nature du traitement et des informations à sa disposition, en mettant par exemple à sa disposition les éléments d’information utiles lui permettant de prouver sa conformité aux obligations réglementaires (Plan d’Assurance Sécurité de la Société, PSSI, etc.).

Afin de maintenir la sécurité du Système informatique, la Société est amenée à mettre en place des solutions de contrôle d’accès (à la Console supervision, etc.) et donc de transmettre au Client des moyens d’authentification tels que des couples « identifiant / mot de passe », etc. La Société rappelle au Client l’importance non seulement de modifier immédiatement tout mot de passe nécessairement temporaire qu’elle lui aurait fourni, mais également de les choisir de façon à ce qu’ils soient robustes et de conserver ces mots de passe dans les conditions de sécurité et de confidentialité adéquates.

Toute authentification du Client par les moyens mis à sa disposition par la Société sera réputée faite par le Client.

La Société s’engage par ailleurs à communiquer, sur simple demande du Client, l’ensemble des logs enregistrés sur une période d’un an glissant.

Conformément au Règlement européen 2016/679 précité, la Société :

  • informe immédiatement le Client si, selon elle, une instruction constitue une violation du présent règlement ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données ;
  • notifie au Client toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance. La Société s’engage alors à adopter une communication concertée avec le Client concernant cette violation vis-à-vis de tout tiers et notamment des régulateurs.
  • au choix du Client supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, sauf respect de prescriptions légales impératives ;
  • met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues au Règlement européen et pour permettre la réalisation d'audits, y compris des inspections, par le Client ou un autre auditeur qu'il a mandaté, et contribué à ces audits.

Dans le cadre de la mise en place des Prestations décrites en Annexe, la Société peut être amenée à installer et maintenir des solutions de sécurité telles qu’un pare- feu. Le Client reconnaît et accepte que si, dans le cadre du fonctionnement de ces solutions et afin de lutter contre d’éventuels risques de sécurité avérés ou supposés, une restriction d’accès des tiers au Système Informatique, voire de fonctionnalités devait être mise en place (filtrage d’IP, etc.), ces restrictions seraient nécessairement appliquées à tous les clients utilisant le Système Informatique du Client infogéré par la Société.

Il appartient au Client de mettre en place l’ensemble des procédures et techniques de sécurité nécessaires qui ne rentrent pas dans le strict cadre des prestations fournies par la Société (classification de l’information, chiffrement, droit d’en connaître, etc.) et qui ne sont donc pas de la responsabilité de la Société.

De la même façon qu’elle prendrait les mesures nécessaires envers ses autres clients pour qu’ils n’altèrent pas la sécurité du Système Informatique du Client, la Société se réserve le droit de suspendre à tout moment et en tout ou partie l’accès ou les fonctionnalités du Service si le maintien de ce Service était de nature à compromettre la sécurité de ses propres systèmes informatiques ou de ceux de ses propres clients (piratage par rebond, etc.).

Au titre des mesures organisationnelles

Kayo a mis en œuvre différentes actions de sensibilisation de son personnel aux contraintes légales relatives à la protection des données personnelles.

Elle leur a délivré une Notice d’Information relative aux traitement des données personnelles les concernant.

Elle a modifié son Règlement Intérieur, pour rendre opposables aux salariés les règles de protection des données personnelles issues de la loi.

Elle met à jour ses contrats avec ses Clients, en faisant notamment du présent document, une Annexe au Contrat de Services qu’elle passe avec eux.

 

C - PROTECTION DES DONNEES SUR SUPPORT MOBILE
  1. Supports considérés

Par support mobile on entend :

  • Borne interactive présente sur le stand de l’Exposant
  • Tablette
  • Ordinateur portable
  • Box Organisateur

  1. Mesures générales de protection

L’accès à l’applicatif, implique l’usage d’un login et d’un mot de passe.

Les données saisies sur les supports mobiles sont chiffrées.

Dès que les supports mobiles sont connectés à l’internet, des transferts automatiques de données sont effectués automatiquement vers les serveurs fixes

Les données ainsi transférées bénéficient à partir de ce moment des mesures de protection décrites ci-dessus, au titre des supports fixes.

Les données saisies sur les supports mobiles sont effacées automatiquement, aussitôt après leur transfert.

  1. Responsabilités

Il appartient à l’Exposant de se connecter le plus souvent possible à l’internet pour opérer le transfert des données saisies sur les supports mobiles, vers les serveurs.

Pendant la période qui sépare la collecte des données sur support mobile, de leur transfert vers les supports fixes, ces données se trouvent placées sous la responsabilité exclusive de l’Exposant.