Privacy Policy

Politique mis à jour le 07.10.2024

SAGES Informatique est l’éditeur de la solution de gestion électronique de documents en ligne nommée Zeendoc.

Le siège social de SAGES Informatique est situé Lieu-dit Cacciariccia, route de Mezzavia, 20167 AFA, France. Sages Informatique est enregistrée au registre du commerce et des sociétés sous le numéro SIREN 430 044 040.

Dans ce qui suit, nous emploierons souvent « Zeendoc » pour désigner la société SAGES Informatique, car c’est le nom qui est connu des utilisateurs.

Votre vie privée et vos données personnelles sont d'une importance primordiale pour nous. Chez SAGES Informatique nous avons des principes fondamentaux :

• We only ask for or process your personal information if it is necessary or if you have given us your consent to do so.
• We do not share your personal data with anyone except to comply with the law, to assist you or to protect our rights.

Below you will find our data use policy which includes these principles.

SAGES Informatique exploite plusieurs sites Web, dont www.zeendoc.com ; www.sages-informatique.com; www.scancenter.fr/ ; https://zeenplanet.com ; armoires.zeendoc.com et https://armoires-sante.zeendoc.com. En naviguant sur l’un de ces sites, vous serez considéré comme un professionnel et vous acceptez que les dispositions spécifiques aux consommateurs ne s’appliquent pas. La politique de SAGES Informatique respecte la confidentialité des informations que nous pouvons être amenés à collecter dans le cadre de l'exploitation de nos sites Web. SAGES Informatique s’engage, dans le cadre de ses activités et conformément à la législation en vigueur en France et en Europe, à assurer la protection, la confidentialité et la sécurité des données à caractère personnel des utilisateurs de ses services, ainsi qu’à respecter leur vie privée.

1. Responsable de traitement

En tant que Responsable de traitement qui consiste à mettre à disposition de ses clients un système de gestion informatisée de documents en ligne (en mode Saas), SAGES Informatique, l’éditeur de Zeendoc, a accompli l’ensemble des formalités administratives nécessaires auprès des autorités compétentes. De manière générale, SAGES Informatique respecte l’ensemble des lois et règlements relatifs à la protection des données à caractère personnel en vigueur dans les pays où elle exerce ses activités, incluant notamment mais non limitativement :

• as of May 25, 2018, the European Regulation 2016/679 of April 27, 2016 on the protection of individuals with regard to the Processing of Personal Data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation, often referred to as the GDPR) ;
• French law no. 78-17 of January 6, 1978 on data processing, data files and individual liberties, as amended from time to time. Sages has uploaded made several declarations to the CNIL, including one, registered under no. 2186552, concerning the processing of personal data intended to provide the Zeendoc electronic document management service.

2. Sous-traitant

De la même façon, en tant que sous-traitant pour ses clients qui utilisent le système de gestion informatisée de documents en ligne (en mode Saas), SAGES Informatique, l’éditeur de Zeendoc, a accompli l’ensemble des formalités administratives nécessaires vis-à-vis des autorités compétentes, notamment le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du Traitement des Données à Caractère Personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, souvent appelé RGPD).

It should be noted that the documents deposited within Zeendoc are encrypted with a key unique to each customer, and therefore unique to each virtual cabinet. Thus, neither employees or service providers, nor end users whose accounts have been created by other Zeendoc customers can access the content of the documents deposited in your Zeendoc cabinet. The subscriber of a Zeendoc subscription may explicitly grant temporary access to his or her virtual file cabinet, especially to Zeendoc employees, service providers or partners, and in particular for technical support purposes. In any case, it is the Zeendoc customer who decides to grant access to his or her cabinet and who has complete control over it, including the documents that are deposited there, which can only be consulted by the persons to whom he or she has granted access.

3. Finalités et fondements juridiques

Les traitements de données à caractère personnel effectués par SAGES Informatique en tant que responsable de traitement poursuivent les objectifs suivants, basés sur les fondements juridiques suivants :

• Mise en œuvre du service de gestion documentaire en ligne Zeendoc : fondements juridiques : relation contractuelle et intérêt légitime de SAGES Informatique à proposer un service efficace et pertinent permettant d’assurer sa rentabilité commerciale ;
• Gestion de la relation commerciale avec les Clients, les utilisateurs et les prospects : fondements juridiques : relation contractuelle ou précontractuelle, intérêt légitime de SAGES Informatique à assurer la rentabilité commerciale de ses offres et services ;
• Assistance des clients, utilisateurs et prospects : fondement juridique : relation contractuelle ou précontractuelle ;
• Gestion des litiges et des contentions : fondement juridique : intérêt légitime de SAGES Informatique à se prémunir des conséquences fâcheuses d’éventuels litiges et contentions ;
• Etudes et analyses de l’utilisation des services, notamment à des fins d’améliorations des sites et services : fondement juridique : intérêt légitime de SAGES Informatique à proposer un service efficace et pertinent permettant d’en assurer la rentabilité commerciale.

SAGES Informatique, en tant que sous-traitant, ne peut pas déterminer toutes les finalités des traitements de données personnelles qui peuvent se trouver contenues dans les documents déposés par ses clients. Ces finalités peuvent être aussi bien l’archivage de documents ne devant pas être autrement traités que la gestion de contentieux, la gestion de comptabilité dont la gestion de factures, la gestion des dossiers d’un cabinet d’avocat, gestion de syndic, etc.

4. Données traitées

4.1       Données contenues dans les documents déposés dans Zeendoc

Les dispositions relatives aux données contenues dans les documents que vous déposez dans Zeendoc sont régies par nos conditions générales d’utilisation, notamment dans leur section nommée « Clauses relatives à la confidentialité des données personnelles contenues dans les documents déposés dans Zeendoc ». Tout utilisateur final de Zeendoc pour lequel un accès valide a été créé par un client ayant souscrit un abonnement au service a accepté ces conditions générales d’utilisation.

4.1.1    Modalités du traitement et obligations des parties lorsque SAGES Informatique agit en tant que sous-traitant relativement aux données à caractère personnel traitées pour le compte du responsable de traitement

4.1.1.1  Objet

La présente clause a pour objet de définir les conditions dans lesquelles SAGES Informatique, le Sous-Traitant, s’engage à effectuer pour le compte du Client, le Responsable de Traitement, qui a créé Votre accès au Service, les opérations de traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données » ou le RGPD).

Pour l’exécution du Service, SAGES Informatique (ci-après « le Sous-Traitant ») met à Votre disposition, en tant qu’Utilisateur Final agissant sous l’autorité du Responsable de Traitement (le Client qui a créé votre accès au Service), les informations suivantes :

4.1.1.1.1           Finalité du traitement opéré par le Sous-Traitant

SAGES Informatique, le Sous-Traitant est autorisé à traiter pour le compte du Client, le Responsable de Traitement, les données à caractère personnel potentiellement comprises dans les documents que le Responsable de Traitement dépose au sein de Zeendoc.

The nature of the operations carried out on the data is defined in the General Conditions of Use and the documentation relating to Zeendoc.

La finalité du traitement opéré par SAGES Informatique est la gestion informatisée des documents du Client Responsable du Traitement, en ligne (dans une infrastructure d’informatique en nuage, Cloud Computing).

The potential subsequent purposes for which the Customer in charge of processing processes the personal data potentially contained in the documents that it deposits within Zeendoc are determined by the said Customer in charge of processing. These purposes may be, for example and without limitation, the management of orders, the administration of local authority services, the management of litigation files, the management of personnel or human resources, etc.

4.1.1.1.2           Données à Caractère Personnel traitées dans le cadre du contrat de sous-traitance

Les catégories de données à caractère personnel traitées dans le cadre du service ne sont pas déterminées par SAGES Informatique mais par le Client Responsable du Traitement. En effet, il s’agit de données présentes dans les documents déposés dans Zeendoc par le Client, et SAGES Informatique n’a aucun contrôle sur la décision que le Client prend de déposer des documents dans Zeendoc ni aucun moyen de déterminer ou de prédire quelles données ces documents contiennent ou contiendront.

The Data Controller is the only Party able to determine and document the said categories of personal data.

Sur la base légale de l’intérêt légitime de SAGES Informatique à vous proposer des offres les plus performantes et améliorer la qualité de ses services, SAGES Informatique est susceptible, en tant que Sous-traitant, d’utiliser des algorithmes d’apprentissage par machine (« Machine Learning ») afin de pouvoir créer des modèles de documents à partir de certains documents, similaires entre eux, déposés dans Zeendoc.

Le but de ce traitement est de pouvoir proposer aux utilisateurs de Zeendoc un service optimum dans la reconnaissance des structures de documents, en particulier celle des objets graphiques présents dans les documents et ainsi, de rendre possible la reconnaissance spécifique de certains champs dédiés (code barre, date, montant HT, montant TTC etc.) de façon à permettre ultérieurement la mise en œuvre d’automatismes destinés aux traitements des contenus desdits champs (par exemple, pointage comptable à partir de documents comptables).

C’est la structure des documents elle-même qui est analysée, afin de permettre la mise en place des automatismes de RAD (reconnaissance automatique des documents) et de LAD (lecture automatique des documents).

Ceci permet aux utilisateurs de Zeendoc de classer automatiquement les documents, d’extraire, d’indexer, automatiquement ou semi-automatiquement, les données présentes dans les documents et de les structurer pour une réutilisation ultérieure par certains automatismes.

Les traitements destinés à l’établissement de modèle de RAD/LAD peuvent aussi être effectués manuellement ou semi-manuellement, à partir de la structure de certains documents déposés dans Zeendoc.

Les données spécifiques contenues dans les documents et qui ne sont pas destinées à faire partie du modèle de RAD/LAD créé, dont les données à caractère personnel présentes dans les documents, ne sont pas analysées lors de ces traitements. Il est donc impossible de faire le lien avec les personnes concernées. En effet, les traitements destinés à l’établissement des modèles de RAD/LAD ne sont ni générateurs ni consommateurs de données à caractère personnel.

4.1.1.1.3           Catégories de personnes concernées par les DCP dans le cadre de la sous-traitance

De la même façon, les catégories de personnes concernées par les DCP présentes dans les documents déposés dans Zeendoc par le Client Responsable de Traitement ne sont pas déterminées par SAGES Informatique mais par le Client, Responsable de Traitement.

Customer is the only Party able to determine and document such categories of persons.

4.1.1.1.4           Durée de conservation des DCP dans le cadre du contrat de sous-traitance

De la même façon, la durée de conservation des DCP potentiellement contenues dans les documents déposés dans Zeendoc et/ou indexées par Zeendoc n’est pas du ressort de SAGES Informatique mais de celui du Client, Responsable de Traitement.

The Customer is the only Party able to determine and document such retention period.

4.1.1.1.5           Obligations de SAGES Informatique, le Sous-Traitant, vis-à-vis du Client, le Responsable de Traitement Le Sous-Traitant s'engage à :

4.1.1.1.5.1.1     Finalité

To process the personal data that may be contained in the documents filed by the Customer in Zeendoc only for the sole purpose(s) that is/are the subject of the subcontracting (Purpose of the Service, see above).

4.1.1.1.5.1.2     Conformité

Traiter les données conformément aux dispositions des présentes conditions générales et/ ou de tout contrat liant les Parties, ou, le cas échéant, aux instructions documentées du Responsable de Traitement acceptées par les deux Parties. Si le Sous-Traitant considère qu’une instruction à lui donnée par le Responsable de Traitement constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe le Responsable de Traitement de façon diligente et spontanée. En outre, si le Sous-Traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable du Traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public

4.1.1.1.5.1.3     Confidentialité

Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat et en particulier veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :

• s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
• receive the necessary training on the protection of personal data.

4.1.1.1.5.1.4     Privacy by Design

Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

4.1.1.1.5.1.5     Fournisseurs

Le Sous-Traitant est autorisé à faire appel à tout fournisseur permettant de rendre opérationnels le Service (ci-après, les

« Fournisseurs »), notamment pour mener les activités de traitement suivantes : Hébergement de serveurs, opérateurs de centre de données, fournisseurs de solution d’informatique en nuage (Cloud Computing), fournisseurs de solution de sauvegardes, accès à un réseau de données Internet ou similaire, service de personnalisation de document etc.

Any Supplier is required to comply with the obligations of this contract on behalf of and according to the instructions of the Controller. It is the responsibility of the initial Subcontractor to ensure that the Supplier presents the same sufficient guarantees regarding the implementation of appropriate technical and organizational measures so that the processing meets the requirements of the European Data Protection Regulation. If the Supplier fails to fulfill its data protection obligations, the Subcontractor shall remain responsible to the Controller for the Supplier's performance of its obligations.

4.1.1.1.5.1.6     Droit d’information des personnes concernées

It is the responsibility of the Data Controller to provide information to the data subjects at the time of data collection.

Le Sous-Traitant pourra mettre à disposition du Client des mentions et dispositions type afin de l’aider à véhiculer l’information aux personnes concernées que les données à caractère personnel les concernant peuvent faire l’objet d’un traitement par le Sous- Traitant.

4.1.1.1.5.1.7     Exercice des droits des personnes

Dans la mesure du possible, le Sous-Traitant doit aider le Responsable de Traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Le Responsable de Traitement a l’entier contrôle des données à caractère personnel en relation avec les personnes concernées et le Sous-Traitant fait ses meilleurs efforts afin de mettre en œuvre les mesures techniques et organisationnelles permettant au Responsable de Traitement de s’acquitter de ses obligations de donner suite aux demandes d’exercice des droits des personnes concernées.

4.1.1.1.5.1.8     Notification des violations de données à caractère personnel

The Subcontractor shall notify the Controller of any personal data breach within a maximum of 72 hours of becoming aware of it and by any appropriate means, in particular one of the following: e-mail, telephone call, written letter, fax, SMS etc. This notification shall be accompanied by any useful documentation to enable the Data Controller, if necessary, to notify this breach to the competent supervisory authority and to the persons concerned.

La notification contient, dans la mesure du possible :

• La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;

• Le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

• La description des conséquences probables de la violation de données à caractère personnel ;

• A description of the steps taken or proposed to be taken by the Subcontractor to remedy the personal data breach, including, if applicable, measures to mitigate any adverse consequences.

If and to the extent that it is not possible to provide all of this information at the same time, the information may be provided in a staggered manner without undue delay.

4.1.1.1.5.1.9     Aide du Sous-Traitant dans le cadre du respect par le Responsable de Traitement de ses obligations

The Sub-Contractor assists and advises the Controller in carrying out data protection impact assessments. The Sub-Contractor may also assist and advise the Controller in carrying out the prior consultation with the supervisory authority.

4.1.1.1.5.1.10   Mesures de sécurité

En ce qui concerne les documents déposés dans Zeendoc, le Sous-Traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :

• Le chiffrement des documents ;
• Les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
• The means to restore availability and access to personal data in a timely manner in the event of a physical or technical incident;
• A procedure to regularly test, analyze and evaluate the effectiveness of technical and organizational measures to ensure the security of the processing

4.1.1.1.5.1.11   Sort des données

Au terme de la prestation de services relatifs au traitement de ces données, le Sous-Traitant s’engage à :

Au choix du Responsable du Traitement :

• Détruire toutes les données du Client, dont les données à caractère personnel ou ;
• À renvoyer toutes les données, dont les données à caractère personnel au Responsable de Traitement ou ;
• À renvoyer les données à caractère personnel au Sous-Traitant désigné par le Responsable de Traitement.

The return must be accompanied by the destruction of all existing copies in the Subcontractor's information systems. Once destroyed, Subcontractor must provide written justification for the destruction.

4.1.1.1.5.1.12   Délégué à la protection des données

The Subcontractor shall provide the Controller with the name and contact details of its Data Protection Officer, if it has appointed one in accordance with Article 37 of the EU Data Protection Regulation, or of any other person in a department performing similar functions on behalf of the Subcontractor. Such person or department shall be contactable by email at dpo@zeendoc.com.

4.1.1.1.5.1.13   Registre des catégories d’activités de traitement

Le Sous-Traitant déclare avoir la capacité de produire un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de Traitement comprenant :

• Les catégories de traitements effectués pour le compte du Responsable de Traitement ;
• Les destinataires des données à caractère personnel, y compris prestataires, fournisseurs et Sous-Traitants ultérieurs ;
• Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées ;
• Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :

• Le chiffrement des documents déposés dans Zeendoc ;
• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
• des moyens permettant de rétablir la disponibilité des données, dont données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
• a procedure to regularly test, analyze and evaluate the effectiveness of technical and organizational measures to ensure the security of the processing.

4.1.1.1.5.1.14   Documentation et information

Le Sous-Traitant met à la disposition du Responsable de Traitement les informations ou la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

4.1.1.1.6           Obligations du Responsable de Traitement vis-à-vis du Sous-Traitant

4.1.1.1.6.1                    Information des personnes concernées

The Data Controller undertakes to inform the persons concerned that their personal data contained in documents may be stored in a Zeendoc Electronic Document Management solution and that indexing and optical reading and storage of this data may be carried out within the Zeendoc Electronic Document Management solution.

4.1.1.1.6.2        Licéité

Le Responsable de Traitement s’engage, lorsqu’il dépose un document dans Zeendoc qui contient des données à caractère personnel, à le faire uniquement de façon licite, c’est-à-dire lorsque :

1. le document est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci (vente, prestation, commande, devis…) ;
2. la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, et ce consentement a été recueilli dans les termes et selon les obligations du RGPD, en particulier après avoir reçu une information claire sur les finalités et de façon positive (pas de case de consentement pré-cochée par exemple) ;
3. le traitement ou le document est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis, notamment établissement et conservation de factures ou de bulletins de salaire ;
4. le traitement ou le document est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
5. le traitement ou le document est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le Responsable du Traitement ;
6. the processing or document is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, unless the interests or fundamental rights and freedoms of the data subject which require the protection of personal data prevail, in particular where the data subject is a child.

4.1.1.1.6.3        Données Sensibles

When the documents it deposits in Zeendoc potentially contain sensitive data within the meaning of the RGPD, the Data Controller undertakes to do so lawfully, i.e. in one of the cases provided for by the RGPD and which are recalled below. In this case, the Data Controller undertakes either to upload these documents in a digital safe optionally offered within Zeendoc or to carry out, if it deems necessary, a possible impact analysis and to take responsibility for any corrective measures that may need to be put in place following said impact analysis.

More generally, the Processor undertakes to assume full responsibility relating to the fact of upload in Zeendoc documents containing sensitive data within the meaning of the RGPD.

The GDPR considers personal data that reveal racial or ethnic origin, political opinions, religious or philosophical beliefs or trade union membership, as well as genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning the sex life or sexual orientation of a natural person to be sensitive data. National identification numbers (NIR or INSEE numbers in France) are also considered sensitive data, as well as data relating to criminal convictions and offences.

Le traitement de telles données n’est possible que dans les cas suivants :

1. La personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que ce consentement ne peut pas être donné par la personne concernée ;

2. Le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ;
3. Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ;

4. Le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ;

5. The processing relates to personal data which are manifestly made public by the data subject ;

6. Le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;

7. Le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ;

8. Le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l'Union, du droit d'un État membre ou en vertu d'un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées ci-dessous ;

9. Le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel ;

10. The processing is necessary for archival purposes in the public interest, for scientific or historical research or for statistical purposes, on the basis of Union law or the law of a Member State, which must be proportionate to the objective pursued, respect the essence of the right to data protection and provide for appropriate and specific measures to safeguard the fundamental rights and interests of the data subject.

Furthermore, sensitive data may be processed for the purposes set out in point 8 above if those data are processed by or under the responsibility of a health professional who is subject to an obligation of professional secrecy in accordance with Union law, the law of a Member State or rules laid down by competent national bodies, or by another person who is also subject to an obligation of secrecy in accordance with Union law or the law of a Member State or rules laid down by competent national bodies.

Processing of personal data relating to criminal convictions and offences or related security measures may be carried out only under the supervision of the public authority, or if the processing is authorised by Union law or by the law of a Member State which provides appropriate safeguards for the rights and freedoms of data subjects. Any complete register of criminal convictions may be kept only under the control of the public authority.

4.1.1.1.6.4        Respects des obligations du RGPD

The Processor undertakes to comply with the obligations of the GDPR and to ensure, in advance and throughout the processing, that the obligations provided for in the European Data Protection Regulation are complied with by the Subcontractor.

En particulier, le Responsable de Traitement s’engage, s’il y est obligé ou si cela est fortement recommandé, à tenir un registre des traitements mentionnant notamment, en ce qui concerne les traitements qu’il effectue ou qui sont effectués pour son compte sur des données à caractère personnel : les finalités des traitements, les catégories de données à caractère personnel, les catégories de personne concernée et la durée de conservation des données à caractère personnel.

4.1.1.1.6.5        Supervision

The Controller undertakes to supervise the processing, including, if appropriate, carrying out audits and inspections of the Processor. In the event that such audits and inspections are carried out, the Controller undertakes to make the results of such audits and inspections available to the Subcontractor and to allow the Subcontractor to pass them on to its customers and prospects or to make them public.

4.1.1.1.6.6        Instructions données au Sous-Traitant

Le Responsable de Traitement s’engage à documenter par écrit toute instruction concernant le traitement des données par le Sous- Traitant.

4.1.1.1.7           Obligations communes

The Contractor and the Data Processor individually and mutually undertake to comply with the text of the RGPD available on the website of the European Commission, and with any applicable national regulations that relate to the processing of personal data. These regulations shall be authoritative in this Agreement and shall supplement or supersede any provisions of this Agreement as appropriate.

4.2       Données traitées pour la mise en œuvre du service Zeendoc

Aux fins d’utiliser le service Zeendoc, le Client qui a souscrit un abonnement crée des accès au service. Les données traitées pour créer et gérer ces accès comprennent un identifiant et un mot de passe. L’identifiant est une adresse de courriel, car cela est nécessaire à l’utilisation du service qui requiert l’envoi de notifications ou de liens, notamment d’activation, par courriel.

Des données de connexion sont aussi collectée et traitées, notamment l’adresse IP utilisée pour la connexion : cela est nécessaire pour pouvoir vous assister et pour satisfaire à nos contraintes légales, notamment en ce qui concerne la traçabilité des accès et des usages.

When you use the email document sharing feature, Zeendoc collects the email address of the recipient with whom the document is shared. This is required in order to send the sharing link to the recipient.

Toutes les actions que vous faites sur les documents sont journalisées : dépôt, mise en place d’index, indexation automatique, partage (y compris l’adresse du destinataire), etc. Cela est requis pour la bonne marche du service, dont une des fonctionnalités est de permettre de tracer et de retrouver les actions effectuées sur les documents, notamment les signatures ou tampons virtuels.

Les informations recueillies à Votre sujet, notamment à partir des formulaires et des documents permettant de créer Votre accès au service sont nécessaires pour rendre le service fourni par Zeendoc. Ces informations font l’objet d’un traitement informatique destiné à SAGES Informatique pour assurer le bon fonctionnement du service Zeendoc et ont fait l’objet de déclarations à la CNIL sous les n°1975333, 2172369 et 2186552. SAGES Informatique est le destinataire des données collectées. Elles sont stockées sur des serveurs situés en France. SAGES Informatique s’interdit de communiquer les données que Vous lui communiquez, notamment via les formulaires, à quelques tiers que ce soit, sauf à ses sous-traitants, aux personnes qui, en raison de leur fonction, sont chargées de traiter Vos données et en cas de demande des autorités légalement habilitées. Conformément à la règlementation en vigueur, Vous disposez de droits concernant vos données.

4.3       Durées de conservation des données

Your Zeendoc access data is retained for the duration of your Zeendoc subscription plus 3 years.

Zeendoc access logs are kept for one year.

4.4       Localisation des traitements et transferts de Données

The processing that Zeendoc is likely to carry out on personal data is carried out in data centers hosted in France (Iguane Solutions, Vitry sur Seine, 94 and OVH, Roubaix, 59 and AZNetwork, 40 Rue André Ampère, 61000 Alençon for health data) or in Switzerland (AGENTIL, Rue du Pré-de-la Fontaine 19, 1242 Satigny, CH), in its premises (Ajaccio, France), and at its service providers, operating from France. The treatments directly under the control of Zeendoc are therefore all carried out in France or in Switzerland.

Si un prestataire, fournisseur ou sous-traitant de Zeendoc effectue des traitements dans un pays qui n’est pas dans l’Union Européenne ni dans un pays de la liste des pays reconnus comme adéquats tout en ayant donné les garanties nécessaires (par exemple en ayant mis en place des Règles d’Entreprises Contraignantes (BCR), etc.), les relations contractuelles entre Zeendoc et ce tiers imposent la mise en place de garanties appropriées permettant de garantir que les traitements effectués sur des données à caractère personnel sont effectués dans le respect des termes et de l’esprit de la réglementation en vigueur. Ces relations contractuelles peuvent alors prendre la forme d’un accord sur la protection des données (DPA, Data Protection Agreement) qui reprend lui-même les clauses contractuelles types (SCC, standard contractual clauses) approuvées par la commission européenne en tant que mécanisme de protection adéquat.

4.5       Destinataires des données traitées pour la mise en œuvre du service

SAGES Informatique peut éventuellement divulguer les données personnelles que vous avez renseignées ou qui ont été renseignées par le souscripteur de l’abonnement au service, à ses employés, prestataires, partenaires ou organismes affiliés qui

1. need to know this information in order to process it on behalf of Zeendoc or to provide services available on Zeendoc's websites, and
2. who have agreed not to disclose them to third parties.

En dehors des transferts mentionnés ci-dessus, SAGES Informatique ne louera ni ne vendra ni ne transférera d’aucune façon à des tiers vos données personnelles (notamment votre adresse email de connexion). En dehors de ses employés, prestataires, distributeurs, partenaires et organismes affiliés, comme indiqué ci-dessus, SAGES Informatique ne divulgue des données personnelles que dans le cas d'une assignation à comparaitre, d'une ordonnance du tribunal ou de tout autre ordre gouvernemental, ou lorsque SAGES Informatique estime que cette divulgation est nécessaire pour protéger les biens ou les droits de SAGES Informatique, d'un tiers ou du public.

Si vous êtes un utilisateur enregistré sur un site Zeendoc et que vous avez fourni votre adresse e-mail, SAGES Informatique peut occasionnellement vous envoyer un e-mail pour vous annoncer de nouvelles fonctionnalités, vous demander votre avis, ou tout simplement vous tenir informé des nouveautés de Zeendoc et de ses produits. SAGES Informatique prend toutes les mesures raisonnables et nécessaires pour protéger vos données contre les accès non autorisés, l'utilisation, la modification ou la destruction de données personnelles (ou potentiellement personnelles).

4.6       Transfert à des tiers des données contenues dans vos documents

Les données que vous renseignez ou qui sont contenues dans les documents que vous déposez dans Zeendoc ne sont pas transmises à des tiers du fait de SAGES Informatique sauf avec votre consentement exprès. De fait, pour que de telles données soient transmises à des tiers, il faut que vous l’ayez décidé et qu’un tel transfert ait été mis en place par vous-même et les équipes de SAGES Informatique ou de ses partenaires. Cela peut notamment consister en des transferts vers des services de comptabilité, vers des organismes bancaires, vers des opérateurs de téléimpression ou de télépostage, vers un coffre-fort électronique, vers des prestataires de certification de documents, etc. Ces transferts sont optionnels et toujours explicites et c’est vous qui en décidez. Quand de tels transferts existent, vos registres de traitement et vos mentions d’information aux personnes concernées doivent les mentionner. Les tiers qui pourraient vous être présentés par SAGES Informatique dans le cadre de ses offres optionnelles et de ses prestations additionnelles seront sélectionnés notamment en fonction des garanties qu’ils offrent en matière de protection des données à caractère personnel.

4.6.1    Utilisation de Microsoft Office 365 ou Microsoft Office for the Web

Zeendoc permet le traitement par les applications Microsoft Office en ligne des documents déposés dans votre armoire lorsque ces documents sont au format Microsoft Office (formats .docx pour Word, .xlsx pour Excel, .pptx pour PowerPoint, etc.). Cela vous permet notamment de modifier ces documents à la condition expresse que vous ayez un accès aux applications Microsoft Office en ligne.

Lorsque vous utilisez cette fonctionnalité, les documents déposés dans Zeendoc sont automatiquement transmis aux applications Microsoft en ligne auxquelles vous avez accès puis, lorsque le traitement de ces documents par ces applications est terminé, les documents ainsi modifiés sont automatiquement transmis à Zeendoc dans une nouvelle version.

Lors de l’utilisation de cette fonctionnalité, pour tous les traitements effectués par les applications Microsoft Office en ligne, ce sont les conditions qui régissent Votre utilisation de ces applications qui s’appliquent, Zeendoc n’étant en la matière qu’un facilitateur permettant d’automatiser des traitements qui peuvent aussi être effectués manuellement : téléchargement depuis Zeendoc, sur votre terminal, d’un document au format Microsoft Office, modification de ce document via une application Microsoft Office en ligne à laquelle vous avez accès, puis versement du document modifié dans Zeendoc. 

4.7       Prospection commerciale

Si vous êtes un utilisateur final enregistré sur un site Zeendoc et que vous avez fourni votre adresse e-mail ou qu’elle a été fournie par le souscripteur de l’abonnement, SAGES Informatique peut occasionnellement vous envoyer un e-mail pour vous annoncer de nouvelles fonctionnalités, vous demander votre avis ou tout simplement vous tenir informé des nouveautés de Zeendoc et ses produits.

Nous pouvons aussi être amenés à vous envoyer des courriels de prospection, notamment sur votre adresse professionnelle, si vous avez fourni vos coordonnées à un partenaire commercial de SAGES Informatique et si vous avez expressément consenti à recevoir des communications de ses propres partenaires.

You always have the possibility to object to any such prospecting by sending us an e-mail to dpo@zeendoc.com.

4.7.1    Partenariat avec e-Futura

SAGES Informatique est partenaire de l’association eFutura, dont l’objectif est d’accompagner et de regrouper l’ensemble des professionnels des secteurs qui touchent à la dématérialisation des contenus, à leur sécurisation, à leur préservation, à leur stockage et à leur hébergement. Le site web de l’association est accessible l’adresse https://www.efutura.fr/.

In particular, this partnership is focused on the production and promotion of white papers and other types of resources, including information resources. When you provide your data to download (or access) one of our resources, we may transmit that data to eFutura in order to provide you with the association's resources and to notify you of events it is organizing. Solicitations issued by the association in this manner are sent by email, generally at a frequency not exceeding one per quarter. You may object to the transfer of your data to eFutura as described in Section 5 below. You also have the opportunity to opt-out of receiving such emails from eFutura directly with eFutura, on its own terms, and in each email received, which contains a link to exercise this right (unsubscribe link or equivalent). If you exercise your right to be forgotten with us and we have transferred your data to eFutura, we will forward your request to the association to be taken into account as soon as possible.

5. Vos droits relativement aux traitements de données à caractère personnel vous concernant

5.1       Le droit à l’information

Lorsque des données à caractère personnel qui Vous concernent sont collectées directement auprès de Vous-même, SAGES Informatique Vous fournit, au moment où les données en question sont obtenues ou avant leur obtention, toute une série d’informations. Ces informations sont notamment contenues dans la présente politique et notamment :

• Les finalités du traitement qui sont de Vous fournir un service de Gestion Informatisée de Documents en mode SaaS ;
• Les catégories de Données Personnelles concernées qui sont : l’adresse email utilisée pour Vous connecter au Service et des données relatives à votre connexion (adresse IP de votre terminal, détails techniques de votre navigateur, en particulier à des fins d’adaptation des interfaces visuelles) ;
• Les périodes de conservation de Vos Données Personnelles selon les mentions ci-dessus ;
• L’existence de Vos Droits.

5.2       Le droit d’accès

Vous avez le droit d’obtenir de SAGES Informatique la confirmation que Vos données personnelles sont ou ne sont pas traitées et, lorsqu’elles le sont, Vous avez le droit d’obtenir l’accès auxdites données ainsi qu’à un certain nombre d’informations complémentaires. Ce droit comprend également celui d’obtenir une copie des données qui font l’objet d’un traitement.

5.3       Le droit de rectification

You have the right to request that Your data be corrected or completed as soon as possible.

5.4       Le droit d’effacement ou « droit à l’oubli »

Vous avez le droit de demander l’effacement de Vos données, dans les meilleurs délais, Vous êtes informé qu’en cas d’exercice de ce droit, Vous ne pourrez plus vous connecter au Service et, subséquemment, que Vous ne pourrez plus l’utiliser.

5.5       Le droit à la limitation du traitement

Vous avez le droit, dans certains cas prévus par la loi, d’obtenir de SAGES Informatique la limitation de Vos données. Lorsqu’une telle limitation est demandée, SAGES Informatique ne pourra plus que stocker les données. Aucune autre opération ne pourra, en principe, avoir lieu sur Vos données personnelles. Vous ne pourrez donc plus utiliser le Service si Vous demandez l’exercice de ce droit.

5.6       Le droit à opposition à un traitement

Vous avez le droit, dans les cas prévus par la loi, de Vous opposer à certains traitements de Vos données à caractère personnel par nos soins lorsque ces traitements dont non nécessaires ou non requis par la réglementation. Il s’agit notamment de ceux basés sur notre intérêt légitime et en particulier de ceux relatifs aux communications optionnelles et à la prospection commerciale. Dans la plupart des cas, ce droit s’exerce en utilisant un lien ou un formulaire de désinscription ou de désabonnement.

5.7       Le droit à la portabilité des données

You have the right to retrieve the data You have provided to the data controller in a structured, commonly used and machine-readable format, and You have the right to transfer this data to another data controller, for example to be able to change the service provider.

5.8       Le droit d’introduire une réclamation auprès d’une autorité de contrôle

You may file a complaint with the CNIL in France, if You believe that Your rights have not been respected or that a processing operation carried out within the framework of the Service is likely to harm You.

5.9       Le droit à la communication d’une violation de données à caractère personnel

The data controller is obliged to notify You of data breaches that may expose You to a high risk to Your rights and freedoms.

Vos droits peuvent être exercés en adressant un courriel à l’adresse dpo@zeendoc.com ou en nous contactant aux coordonnées disponibles sur notre site web www.zeendoc.com. Vous pouvez aussi exercer ces droits en contactant SAGES Informatique par courrier postal à SAGES Informatique, LIEU DIT CACCIARICCIA, ROUTE DE MEZZAVIA, RN 194, 20167 – AFA, France.

6. Sécurité des données

SAGES Informatique prend toutes les mesures raisonnables et nécessaires pour protéger les données traitées contre les accès non autorisés, l’utilisation, la modification ou la destruction de données personnelles (ou potentiellement personnelles).

Par ailleurs, nous Vous informons que des informations relatives à la sécurité, à la protection et à la confidentialité des données, notamment contenues dans les documents que Vous versez dans Zeendoc, sont disponibles sur nos sites web et au sein des ressources mises à disposition des utilisateurs de Zeendoc.

7. Sous-traitance

SAGES Informatique fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la réglementation européenne et garantisse la protection des droits de la personne concernée.

8. Cession d’actifs

Si SAGES Informatique, ou la quasi-totalité de ses actifs, est vendu, ou dans le cas peu probable d’une cessation d’activité ou d’une faillite de SAGES Informatique, les informations des utilisateurs feraient partie des actifs transférés à un tiers ou acquis par celui-ci. Vous reconnaissez que ces transferts peuvent avoir lieu et que tout acquéreur de SAGES Informatique peut continuer à utiliser vos renseignements personnels conformément à la présente politique.

9. Traceurs et cookies

Notre politique et les informations concernant notre usage des traceurs et des cookies est disponible dans le document « Traceurs et cookies ».

10. Publicité

Nous ne diffusons pas de publicité sur nos sites !

However, some of the technologies we use to make it easy for you to share content from our site www.zeendoc.com on social networks may also track some of your browsing and sharing history in order to build a list of interests that can then be used to provide you with personalized advertising and content.

Pour plus d’informations et savoir comment désactiver ces fonctions, se référer au document « Traceurs et cookies ».

11. Modifications de la présente politique

Bien que la plupart des changements soient susceptibles d’être mineurs, SAGES Informatique peut être amené à modifier la présente politique et ce, à sa seule discrétion. SAGES Informatique encourage les visiteurs de son site à vérifier fréquemment cette page afin d’y lire les éventuels changements concernant sa politique d’utilisation des données. L’utilisation d’un de nos sites après d’éventuels changements de politique d’utilisation des données constitue votre acceptation de ces changements.