Politique d’Utilisation des Données

Sages Informatique est l’éditeur de la solution de gestion électronique de document en ligne nommée Zeendoc.

Le siège social de Sages Informatique est situé Lieu-dit Cacciariccia, route de Mezzavia, 20167 AFA, France. Sages Informatique est enregistré au registre du commerce et des sociétés sous le numéro SIREN 430 044 040.

Dans ce qui suit, nous emploierons souvent « Zeendoc » pour désigner la société Sages Informatique, car c’est le nom qui est connu des utilisateurs.

Votre vie privée et vos données personnelles sont d'une importance primordiale pour nous. Chez Zeendoc nous avons des principes fondamentaux :

  • Nous vous demandons ou traitons vos informations personnelles seulement si c'est indispensable ou si vous nous avez donné votre consentement pour le faire.
  • Nous ne partageons vos données personnelles avec personne, sauf pour nous conformer à la loi, vous assister ou pour protéger nos droits.

Vous trouverez ci-dessous notre politique de confidentialité qui reprend ces principes.

Zeendoc exploite plusieurs sites Web, dont www.zeendoc.com, www.sages-informatique.com, https://www.scancenter.com, armoires.zeendoc.com et https://armoires-sante.zeendoc.com. La politique de Zeendoc respecte la confidentialité des informations que nous pouvons être amenés à collecter dans le cadre de l'exploitation de nos sites Web. Zeendoc s’engage, dans le cadre de ses activités et conformément à la législation en vigueur en France et en Europe, à assurer la protection, la confidentialité et la sécurité des données à caractère personnel des utilisateurs de ses services, ainsi qu’à respecter leur vie privée.

1 - Responsable de traitement

En tant que responsable de traitement qui consiste à mettre à disposition de ses clients un système de gestion informatisée de documents en ligne (en mode Saas), Sages Informatique, l’éditeur de Zeendoc, a accompli l’ensemble des formalités administratives nécessaires auprès des autorités compétentes. De manière générale, Zeendoc respecte l’ensemble des lois et règlements relatifs à la protection des données à caractère personnel en vigueur dans les pays où elle exerce ses activités, incluant notamment mais non limitativement :

  • la directive européenne n°95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du Traitement des Données à Caractère Personnel et à la libre circulation de ces données ;
  • à compter du 25 mai 2018, le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du Traitement des Données à Caractère Personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, souvent appelé RGPD) ;
  • la loi française n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et ses évolutions. Sages a déposé plusieurs déclarations à la CNIL, dont une, enregistrée sous le n° 2186552, concernant le traitement de données à caractère personnel qui est destiné à fournir le service de Gestion Electronique de Documents Zeendoc.

2 - Sous-traitant

De la même façon, en tant que sous-traitant pour ses clients qui utilisent le système de gestion informatisée de document en ligne (en mode Saas), Sages Informatique, l’éditeur de Zeendoc, a accompli l’ensemble des formalités administratives nécessaires vis-à-vis des autorités compétentes, notamment le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du Traitement des Données à Caractère Personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, souvent appelé RGPD).

Il convient de noter que les documents déposés au sein de Zeendoc sont cryptés avec une clé unique à chaque client, donc unique à chaque armoire virtuelle. Ainsi, ni les employés ou prestataires, ni les utilisateurs finaux dont les comptes ont été créés par les autres clients de Zeendoc ne peuvent accéder au contenu des documents déposés dans votre armoire Zeendoc. Le souscripteur d’un abonnement à Zeendoc peut octroyer explicitement un accès temporaire à son armoire virtuelle, notamment à des employés, prestataires ou partenaires de Zeendoc et en particulier à des fins de support technique. En tout état de cause, c’est le client de Zeendoc qui décide d’octroyer des accès à son armoire et qui en a le contrôle total, y compris en ce qui concerne les documents qui y sont déposés, que seules les personnes auquel il a donné accès peuvent consulter.

3 - Finalités

Les traitements de données à caractère personnel effectués par Zeendoc en tant que responsqable de traitement poursuivent les objectifs suivants :

  • Mise en œuvre du service de gestion documentaire en ligne Zeendoc ;
  • Gestion de la relation commerciale avec les Clients, les utilisateurs et les prospects
  • Assistance des clients, utilisateurs et prospects ;
  • Gestion des litiges et des contentions ;
  • Etudes et analyses de l’utilisation des services, notamment à des fins d’améliorations des sites et services.

Zeendoc, en tant que sous-traitant, ne peut pas déterminer toutes les finalités des traitements de données personnelles qui peuvent se trouver contenue dans les documents déposés par ses clients. Ces finalités peuvent être aussi bien l’archivage de documents ne devant pas être autrement traités que la gestion de contentieux, la gestion de comptabilité dont la gestion de factures, la gestion des dossiers d’un cabinet d’avocat, gestion de syndic, etc.

4 - Données traitées

4.1 - Données contenues dans les documents déposés dans Zeendoc

Les dispositions relatives aux données contenues dans les documents que vous déposez dans Zeendoc sont régies par nos conditions générales d’utilisation, notamment dans leur section nommée « Clauses relatives à la confidentialité des données personnelles contenues dans les documents déposés dans Zeendoc ». Tout utilisateur final de Zeendoc pour lequel un accès valide a été créé par un client ayant souscrit un abonnement au service a accepté ces conditions générales d’utilisation.

4.1.1 - Confidentialité des données personnelles contenues dans les documents déposés dans Zeendoc

4.1.1.1 - Objet

La présente clause a pour objet de définir les conditions dans lesquelles le SAGES, le Sous-Traitant, s’engage à effectuer pour le compte du Client, le Responsable de Traitement, qui a créé Votre accès au Service, les opérations de traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données » ou le RGPD).

Pour l’exécution du Service, SAGES INFORMATIQUE (ci-après « le Sous-Traitant ») met à Votre disposition, en tant qu’Utilisateur Final agissant sous l’autorité du Responsable de Traitement (le Client qui a créé votre accès au Service), les informations suivantes :

 

4.1.1.1.1 - Finalité du traitement opéré par le Sous-Traitant

SAGES INFORMATIQUE, le Sous-Traitant est autorisé à traiter pour le compte du Client, le Responsable de Traitement, les données à caractère personnel potentiellement comprises dans les documents que le Responsable de Traitement dépose au sein de Zeendoc.

La nature des opérations réalisées sur les données est définie dans les Conditions Générales d’Utilisation et la documentation relative à Zeendoc.

La finalité du traitement opéré par SAGES INFORMATIQUE est la gestion informatisée des documents du Client Responsable du Traitement, en ligne (dans une infrastructure d’informatique en nuage, Cloud Computing).

Les potentielles finalités ultérieures, pour lesquelles le Client Responsable du Traitement traite les données à caractère personnel potentiellement contenues dans les documents qu’il dépose au sein de Zeendoc sont déterminées par ledit Client Responsable de Traitement. Ces finalités peuvent être, par exemple et sans que cela soit limitant, la gestion de commandes, l’administration des services d’une collectivité locale, la gestion de dossier de contentieux, la gestion de personnel ou de ressources humaines, etc.

 

4.1.1.1.2 - Données à Caractère Personnel traitées dans le cadre du contrat de sous-traitance

Les catégories de données à caractère personnel traitées dans le cadre du service ne sont pas déterminées par SAGES INFORMATIQUE mais par le Client Responsable du Traitement. En effet, il s’agit de données présentes dans les documents déposés dans Zeendoc par le Client, et SAGES INFORMATIQUE n’a aucun contrôle sur la décision que le Client prend de déposer des documents dans Zeendoc ni aucun moyen de déterminer ou de prédire quelles données ces documents contiennent ou contiendront.

Le Responsable de Traitement est la seule Partie en capacité de déterminer et de documenter lesdites catégories de données à caractère personnel.

4.1.1.1.3 - Catégories de personnes concernées par les DCP dans le cadre de la sous-traitance

De la même façon, les catégories de personnes concernées par les DCP présentes dans les documents déposés dans Zeendoc par le Client Responsable de Traitement ne sont pas déterminées par SAGES INFORMATIQUE mais par le Client, Responsable de Traitement.

Le Client est la seule Partie en capacité de déterminer et de documenter lesdites catégories de personnes concernées.

 

4.1.1.1.4 - Durée de conservation des DCP dans le cadre du contrat de sous-traitance

De la même façon, la durée de conservation des DCP potentiellement contenues dans les documents déposés dans Zeendoc et/ou indexées par Zeendoc n’est pas du ressort de SAGES INFORMATIQUE mais de celui du Client, Responsable de Traitement.

Le Client est la seule Partie en capacité de déterminer et de documenter ladite durée de conservation.

 

4.1.1.1.5 - Obligations de SAGES INFORMATIQUE, le Sous-Traitant, vis-à-vis du Client, le Responsable de Traitement

Le Sous-Traitant s'engage à :

4.1.1.1.5.1 - Finalité

Traiter les données à caractère personnel éventuellement contenues dans les documents déposés par le Client dans Zeendoc uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance (Finalité du Service, voir ci-dessus).

4.1.1.1.5.2 - Conformité

Traiter les données conformément aux dispositions des présentes conditions générales et/ ou de tout contrat liant les Parties, ou, le cas échéant, aux instructions documentées du Responsable de Traitement acceptées par les deux Parties. Si le Sous-Traitant considère qu’une instruction à lui donnée par le Responsable de Traitement constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe le Responsable de Traitement de façon diligente et spontanée. En outre, si le Sous-Traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable du Traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

4.1.1.1.5.3 - Confidentialité

Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat et en particulier veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :

  • s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
  • reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
4.1.1.1.5.4 - Privacy by Design

Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

4.1.1.1.5.5 - Fournisseurs :

Le Sous-Traitant est autorisé à faire appel à tout fournisseur permettant de rendre opérationnels le Service (ci-après, les « Fournisseurs »), notamment pour mener les activités de traitement suivantes : Hébergement de serveurs, opérateurs de centre de données, fournisseurs de solution d’informatique en nuage (Cloud Computing), fournisseurs de solution de sauvegardes, accès à un réseau de données Internet ou similaire, service de personnalisation de document etc.

Tout Fournisseur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du Responsable de Traitement. Il appartient au Sous-Traitant initial de s’assurer que le Fournisseur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le Fournisseur ne remplit pas ses obligations en matière de protection des données, le Sous-Traitant demeure responsable devant le Responsable de Traitement de l’exécution par le Fournisseur de ses obligations.

4.1.1.1.5.6 - Droit d’information des personnes concernées

Il appartient au Responsable de Traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

Le Sous-Traitant pourra mettre à disposition du Client des mentions et dispositions type afin de l’aider à véhiculer l’information aux personnes concernées que les données à caractère personnel les concernant peuvent faire l’objet d’un traitement par le Sous-Traitant.

4.1.1.1.5.7 - Exercice des droits des personnes

Dans la mesure du possible, le Sous-Traitant doit aider le Responsable de Traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Le Responsable de Traitement a l’entier contrôle des données à caractère personnel en relation avec les personnes concernées et le Sous-Traitant fait ses meilleurs efforts afin de mettre en œuvre les mesures techniques et organisationnelles permettant au Responsable de Traitement de s’acquitter de ses obligations de donner suite aux demandes d’exercice des droits des personnes concernées.

4.1.1.1.5.8 - Notification des violations de données à caractère personnel

Le Sous-Traitant notifie au Responsable de Traitement toute violation de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance et par tout moyen approprié, notamment un des moyens suivants : courriel, appel téléphonique, courrier écrit, fax, SMS etc. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente ainsi qu’aux personnes concernées.

La notification contient, dans la mesure du possible :

  • la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
  • le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • la description des conséquences probables de la violation de données à caractère personnel ;
  • la description des mesures prises ou que le Sous-Traitant propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

4.1.1.1.5.9 - Aide du Sous-Traitant dans le cadre du respect par le Responsable de Traitement de ses obligations

Le Sous-Traitant aide et conseille le Responsable de Traitement pour la réalisation d’analyses d’impact relative à la protection des données. Le Sous-Traitant peut aussi aider et conseiller le Responsable de Traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.

4.1.1.1.5.10 - Mesures de sécurité

En ce qui concerne les documents déposés dans Zeendoc, le Sous-Traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :

  • le chiffrement des documents ;
  • les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
4.1.1.1.5.11 - Sort des données

Au terme de la prestation de services relatifs au traitement de ces données, le Sous-Traitant s’engage à :

Au choix du Responsable du Traitement :

  • détruire toutes les données du Client, dont les données à caractère personnel ou
  • à renvoyer toutes les données, dont les données à caractère personnel au Responsable de Traitement ou
  • à renvoyer les données à  caractère personnel au Sous-Traitant désigné par le Responsable de Traitement

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du Sous-Traitant. Une fois détruites, le Sous-Traitant doit justifier par écrit de la destruction.

4.1.1.1.5.12 - Délégué à la protection des données

Le Sous-Traitant communique au Responsable de Traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données, ou de toute autre personne on service assumant des fonctions similaires pour le compte du Sous-Traitant. Cette personne ou ce service sera joignable par courriel à dpo@zeendoc.com

4.1.1.1.5.13 - Registre des catégories d’activités de traitement

Le Sous-Traitant déclare être en capacité de produire un registrede toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de Traitement comprenant :

le nom et les coordonnées du Responsable de Traitement pour le compte duquel il agit, des éventuels Sous-Traitants ou fournisseurs et, le cas échéant, du délégué à la protection des données ;

  • les catégories de traitements effectués pour le compte du Responsable de Traitement ;
  • les destinataires des données à caractère personnel, y compris prestataires, fournisseurs et Sous-Traitants ultérieurs ;
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées ;

-        dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :

  • le chiffrement des documents déposés dans Zeendoc ;
  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • des moyens permettant de rétablir la disponibilité des données, dont données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
4.1.1.1.5.14 - Documentation et information

Le Sous-Traitant met à la disposition du Responsable de Traitement les informations ou la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

4.1.1.1.6 - Obligations du Responsable de Traitement vis-à-vis du Sous-Traitant
4.1.1.1.6.1 - Information des personnes concernées

Le Responsable de Traitement s’engage à informer les personnes concernées du fait que les données personnelles les concernant qui sont contenues dans des documents peuvent faire l’objet d’un stockage dans une solution de Gestion Electronique de Documents Zeendoc et que des traitements de type indexation et lecture optiques puis stockage de ces données peuvent être effectués au sein de la solution de Gestion Electronique de Documents Zeendoc.

4.1.1.1.6.2 - Licéité

Le Responsable de Traitement s’engage, lorsqu’il dépose un document dans Zeendoc qui contient des données à caractère personnel, à le faire uniquement de façon licite, c’est-à-dire lorsque :

  1. le document est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci (vente, prestation, commande, devis…)
  2. la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, et ce consentement a été recueilli dans les termes et selon les obligations du RGPD, en particulier après avoir reçu une information claire sur les finalités et de façon positive (pas de case de consentement pré-cochée par exemple)
  3. le traitement ou le document est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis, notamment établissement et conservation de factures ou de bulletins de salaire ;
  4. le traitement ou le document est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
  5. le traitement ou le document est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le Responsable du Traitement ;
  6. le traitement ou le document est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
4.1.1.1.6.3 - Données Sensibles

Lorsque les documents qu’il dépose dans Zeendoc contiennent potentiellement des données sensibles au sens du RGPD, le Responsable de Traitement s’engage à le faire de façon licite, c’est-à-dire dans un des cas prévus par le RGPD et qui sont rappelés ci-dessous. Dans ce cas, le Responsable de Traitement s’engage ou bien à déposer ces documents dans un coffre-fort numérique proposé optionnellement au sein de Zeendoc ou bien à effectuer s’il le juge nécessaire, une éventuelle analyse d’impact et à prendre en charge les éventuelles mesures correctives qui devront être mise en place à la suite de ladite analyse d’impact.

Plus généralement, le Responsable du Traitement s’engage à assumer l’entière responsabilité relative au fait de déposer dans Zeendoc des documents contenant des données sensibles au sens du RGPD.

Le RGPD considère comme des données sensibles les données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. Les numéros d’identification nationaux (numéros NIR ou INSEE en France) sont aussi considérés comme des données sensibles, ainsi que les données relatives aux condamnations pénales et aux infractions.

Le traitement de telles données n’est possible que dans les cas suivants :

1 - la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que ce consentement ne peut pas être donné par la personne concernée ;

2 - le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ;

3 - le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ;

4 - le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ;

5 - le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;

6 - le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;

7 - le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ;

8 - le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l'Union, du droit d'un État membre ou en vertu d'un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées ci-dessous ;

9 - le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel;

10 - le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

 

Qui plus est, les données sensibles peuvent faire l'objet d'un traitement aux fins prévues au point 8 ci-dessus, si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l'Union, au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l'Union ou au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents.

 

Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes, ne peut être effectué que sous le contrôle de l'autorité publique, ou si le traitement est autorisé par le droit de l'Union ou par le droit d'un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

4.1.1.1.6.4 - Respects des obligations du RGPD

Le Responsable de Traitement s’engage à respecter les obligations du RGPD et à veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du Sous-Traitant.

En particulier, le Responsable de Traitement s’engage, s’il y est obligé ou si cela est fortement recommandé, à tenir un registre des traitements mentionnant notamment, en ce qui concerne les traitements qu’il effectue ou qui sont effectués pour son compte sur des données à caractère personnel : les finalités des traitements, les catégories de données à caractère personnel, les catégories de personne concernée et la durée de conservation des données à caractère personnel.

4.1.1.1.6.5 - Supervision

Le Responsable de Traitement s’engage à superviser le traitement, y compris, si cela s’avère approprié, réaliser des audits et des inspections auprès du Sous-Traitant. Dans le cas ou de tels audits et inspections seraient réalisés, le Responsable de Traitement s’engage à mettre à disposition du Sous-Traitant les résultats desdits audits et inspection et à permettre au Sous-Traitant de les transmettre à ses clients et prospects ou de les rendre publics.

4.1.1.1.6.6 - Instructions données au Sous-Traitant

Le Responsable de Traitement s’engage à documenter par écrit toute instruction concernant le traitement des données par le Sous-Traitant.

 

4.1.1.1.7 - Obligations communes

Le Sous-traitant et le Responsable de traitement s’engagent individuellement et mutuellement à se conformer au texte du RGPD disponible sur le site de la commission européenne, et à toute réglementation nationale applicable qui porterait sur les traitements de données à caractère personnel. Ces réglementations feront foi dans le présent Contrat et complèteront ou prévaudront le cas échéant sur toutes les dispositions du présent Contrat.

4.2 - Données traitées pour la mise en œuvre du service Zeendoc

Aux fins d’utiliser le service Zeendoc, le client qui a souscrit un abonnement crée des accès au service. Les données traitées pour créer et gérer ces accès comprennent un identifiant et un mot de passe. L’identifiant est une adresse de courriel, car cela est nécessaire à l’utilisation du service qui requiert l’envoi de notifications ou de liens, notamment d’activation, par courriel.

Des données de connexion sont aussi collectée et traitées, notamment l’adresse IP utilisée pour la connexion : cela est nécessaire pour pouvoir vous assister et pour satisfaire à nos contraintes légales, notamment en ce qui concerne la traçabilité des accès et des usages.

Les données relatives à votre accès à Zeendoc sont conservées pendant toute la durée de l’abonnement qui vous permet d’accéder à Zeendoc augmentée de 3 ans.

Les journaux d’accès à Zeendoc sont conservés pendant un an.

Lorsque vous utilisez la fonction de partage de document par email, Zeendoc collecte l’adresse email du destinataire avec lequel le document est partagé. Cela est requis pour pouvoir lui envoyer le lien de partage.

Toutes les actions que vous faites sur les documents sont journalisées : dépôt, mise en place d’index, indexation automatique, partage (y compris l’adresse du destinataire), etc. Cela est requis pour la bonne marche du service, dont une des fonctionnalités est de permettre de tracer et de retrouver les actions effectuées sur les documents, notamment les signatures ou tampons virtuels.

Les informations recueillies à Votre sujet, notamment à partir des formulaires et des documents permettant de créer Votre accès au service sont nécessaires pour rendre le service fourni par Zeendoc. Ces informations font l’objet d’un traitement informatique destiné à SAGES INFORMATIQUE pour assurer le bon fonctionnement du service Zeendoc et ont fait l’objet de déclarations à la CNIL sous les n°1975333, 2172369 et 2186552. SAGES INFORMATIQUE est le destinataire des données collectées. Elles sont stockées sur des serveurs situés en France. SAGES INFORMATIQUE s’interdit de communiquer les données que Vous lui communiquez, notamment via les formulaires, à quelques tiers que ce soit, sauf à ses sous-traitants, aux personnes qui, en raison de leur fonction, sont chargées de traiter Vos données et en cas de demande des autorités légalement habilitées. Conformément à la règlementation en vigueur, Vous disposez de droits concernant vos données :

 

Le droit à l’information

Lorsque des données à caractère personnel qui Vous concernent sont collectées directement auprès de vous-même, SAGES INFORMATIQUE vous fournit, au moment où les données en question sont obtenues ou avant leur obtention, toute une série d’informations. Ces informations sont notamment contenues dans les présentes Conditions Générales, et notamment :

  • Les finalités du traitement sont de vous fournir un service de Gestion Informatisée de Documents en mode SaaS tel que défini à l’Article 2 ci-dessus.
  • Les catégories de Données Personnelles concernées sont : l’adresse email utilisée pour vous connecter au Service, et des données relatives à votre connexion (adresse IP de votre terminal, détails techniques de voter navigateur, en particulier à des fins d’adaptation des interfaces visuelles)
  • Vos Données Personnelles sont conservées durant la période d’abonnement qui lie le Client qui a créé votre accès, augmentée de 30 jours
  • L’existence des droits ci-dessous :

Le droit d’accès (article 15 du RGPD)

Vous avez le droit d’obtenir de SAGES INFORMATIQUE la confirmation que Vos données personnelles sont ou ne sont pas traitées et, lorsqu’elles le sont, Vous avez le droit d’obtenir l’accès auxdites données ainsi qu’à un certain nombre d’informations complémentaire. Ce droit comprend également celui d’obtenir une copie des données qui font l’objet d’un traitement.

Le droit de rectification (article 16 du RGPD)

Vous avez le droit de demander que Vos données soient rectifiées ou complétées, et ce dans les meilleurs délais.

Le droit d’effacement ou « droit à l’oubli » (article 17 du RGPD)

Vous avez le droit de demander l’effacement de Vos données, dans les meilleurs délais. Vous êtes informé qu’en cas d’exercice de ce droit, Vous ne pourrez plus vous connecter au Service et, subséquemment, que Vous ne pourrez plus l’utiliser.

Le droit à la limitation du traitement (article 18 du RGPD)

Vous avez le droit, dans certains cas prévus par la loi, d’obtenir de SAGES INFORMATIQUE la limitation de Vos données. Lorsqu’une telle limitation est demandée, SAGES INFORMATIQUE ne pourra plus que stocker les données. Aucune autre opération ne pourra, en principe, avoir lieu sur Vos données personnelles. Vous ne pourrez donc plus utiliser le Service si Vous demandez l’exercice de ce droit.

Le droit à la portabilité des données (article 20 du RGPD)

Vous avez le droit de récupérer les données que Vous avez fournies au responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine, et Vous avez le droit de transmettre ces données à un autre responsable du traitement, par exemple pour pouvoir changer de fournisseur de service.

Le droit à la communication d’une violation de données à caractère personnel (article 34 du RGPD).

Le responsable de traitement est obligé Vous notifier les violations de données susceptibles de Vous exposer à un risque élevé à ses droits et libertés.

Le droit d'introduire une réclamation auprès d'une autorité de contrôle (article 15 du RGPD).

Vous pouvez introduire une réclamation auprès de la CNIL en France, si Vous jugez que Vos droits n’ont pas été respectés ou qu’un traitement effectué dans le cadre du Service est susceptible de Vous porter préjudice.

Vous pouvez exercer ces droits en adressant un courriel à : dpo@zeendoc.com ou en contactant SAGES INFORMATIQUE par courrier postal à SAGES INFORMATIQUE, LIEU DIT DE CACCIARICCIA, ROUTE DE MEZZAVIA, RN194, 20167 AFA - France

4.3 - Localisation des traitements

Les traitements que Zeendoc est susceptible d’effectuer sur les données à caractère personnel sont effectués dans des centres de données hébergées en France (Iguane Solutions, Vitry sur Seine, 94 et OVH, Roubaix, 59), dans ses locaux (Ajaccio, France), et chez ses prestataires en France. Les traitements directement sous le contrôle de Zeendoc sont donc tous effectués en France.

Si un prestataire, fournisseur ou sous-traitant de Zeendoc effectue des traitements dans un pays qui n’est pas dans l’Union Européenne ni dans un pays de la liste des pays reconnus comme adéquats tout en ayant donné les garanties nécessaires (par exemple en ayant adhéré à des programmes tels Privacy Shield, Safe Harbor, ou en ayant mis en place des Règles d’Entreprises Contraignantes (BCR), etc.), les relations contractuelles entre Zeendoc et ce tiers imposent la mise en place de garanties appropriées. A ce jour Zeendoc ne travaille pas avec de tels tiers.

4.4 - Destinataires des données traitées pour la mise en œuvre du service

Zeendoc peut éventuellement divulguer les données personnelles que vous avez renseignées ou qui ont été renseignées par le souscripteur de l’abonnement au service, à ses employés, prestataires ou organismes affiliés qui

(i)     ont besoin d'avoir connaissance de ces informations afin de les traiter au nom de Zeendoc ou de fournir des services disponibles sur les sites web de Zeendoc, et

(ii)   qui ont convenu de ne pas les divulguer à des tiers.

Zeendoc ne louera ni ne vendra ni ne transférera d’aucune façon à des tiers vos données personnelles (notamment votre adresse email de connexion). En dehors de ses employés, prestataires, distributeurs et organismes affiliés, comme indiqué ci-dessus, Zeendoc ne divulgue des données personnelles que dans le cas d'une assignation à comparaitre, d'une ordonnance du tribunal ou de tout autre ordre gouvernemental, ou lorsque Zeendoc estime que cette divulgation est nécessaire pour protéger les biens ou les droits de Zeendoc, d'un tiers ou du grand public.

Si vous êtes un utilisateur enregistré sur un site Zeendoc et que vous avez fourni votre adresse e-mail, Zeendoc peut occasionnellement vous envoyer un e-mail pour vous annoncer de nouvelles fonctionnalités, vous demander votre avis, ou tout simplement vous tenir informé des nouveautés de Zeendoc et de ses produits. Zeendoc prend toutes les mesures raisonnables et nécessaires pour protéger vos données contre les accès non autorisés, l'utilisation, la modification ou la destruction de données personnelles (ou potentiellement personnelles).

4.5 - Transfert à des tiers des données contenues dans vos documents

Les données que vous renseignez ou qui sont contenues dans les documents que vous déposez dans Zeendoc ne sont pas transmises à des tiers du fait de Zeendoc sauf avec votre consentement exprès. De fait, pour que de telles données soient transmises à des tiers, il faut que vous l’ayez décidé et qu’un tel transfert ait été mis en place par vous-même et les équipes de Zeendoc ou de ses partenaires. Cela peut notamment consister en des transferts vers des services de comptabilité, vers des organismes bancaires, vers des opérateurs de téléimpression ou de télépostage, vers un coffre-fort électronique, vers des prestataires de certification de documents, etc. Ces transferts sont optionnels et toujours explicites et c’est vous qui en décidez. Quand de tels transferts existent, vos registres de traitement et vos mentions d’information aux personnes concernées doivent les mentionner. Les tiers qui pourraient vous être présentés par Zeendoc dans le cadre de ses offres optionnelles et de ses prestations additionnelles seront sélectionnés notamment en fonction des garanties qu’ils offrent en matière de protection des données à caractère personnel.

4.6 - Transfert de données vers un pays tiers non membre de l’Union Européenne

Ainsi qu’il est dit plus haut, les données que vous renseignez ou qui sont contenues dans les documents que vous déposez dans Zeendoc ne sont pas transmises à des tiers. Si un transfert hors de l’UE doit être mis en place, Zeendoc et vous-mêmes devez vous assurer que ce transfert est encadré par l’une des garanties offertes par la Commission Européenne – notamment par des clauses contractuelles types ou par le Privacy Shield pour les transferts vers les Etats-Unis, par des règles d’entreprise contraignantes (BCR) ou par tout autre mesure approprié et reconnue. Les tiers qui pourraient vous être présentés par Zeendoc dans le cadre de ses offres optionnelles et de ses prestations additionnelles seront sélectionnés notamment en fonction des garanties qu’ils offrent en matière de protection des données à caractère personnel.

4.7 - Prospection commerciale

Si vous êtes un utilisateur final enregistré sur un site Zeendoc et que vous avez fourni votre adresse e-mail ou qu’elle a été fourni par le souscripteur de l’abonnement, Zeendoc peut occasionnellement vous envoyer un e-mail pour vous annoncer de nouvelles fonctionnalités, vous demander votre avis ou tout simplement vous tenir informé des nouveautés de Zeendoc et ses produits.

Nous pouvons aussi être amenés à vous envoyer des courriels de prospection, notamment sur votre adresse professionnelle, si vous avez fourni vos coordonnées à un partenaire commercial de Zeendoc et si vous avez expressément consenti à recevoir des communications de ses propres partenaires.

Vous avez toujours la possibilité de vous opposer à toute prospection de ce type, en nous adressant un courriel à l’adresse dpo@zeendoc.com.

5 - Modalités d’exercice des droits d’accès, de rectification et d’opposition

En tant qu’utilisateur de nos sites web, vous avez le droit :

  • De demander à ce que vos données, notamment utilisées pour communiquer avec vous (adresse de courriel, téléphone, etc.), soient effacées de nos fichiers.
  • De demander à ce que vos données traitées pour rendre le service soient effacées de nos fichiers. C’est ce qu’on appelle le droit à l’oubli. Si vous exercez votre droit à l’oubli, et que vous avez un accès à Zeendoc, cet accès deviendra impossible puisque votre adresse email, qui est votre identifiant, sera effacée de nos fichiers.
  • De vous opposer à la collecte et au traitement de données vous concernant lorsqu’elles ne sont pas strictement nécessaires. Votre adresse email nous est nécessaire pour ouvrir votre accès à votre espace de stockage et aux armoires Zeendoc car c’est votre identifiant, et nous en avons besoin pour vous envoyer des informations, des courriels de confirmation ou d’activation, etc. ; Si vous êtes destinataire d’un courriel contenant un lien de partage de document, votre adresse de courriel nous est nécessaire afin de vous envoyer le courriel contenant le lien et afin de gérer votre accès au document partagé.
  • D’accéder aux données collectées à votre sujet et de les récupérer sous un format électronique standard ;
  • D’en obtenir la rectification ;
  • De demander une limitation de leur traitement – en refusant par exemple toute utilisation à des fins de prospection.

Ces droits peuvent être exercés en adressant un courriel à l’adresse dpo@zeendoc.com ou en nous contactant aux coordonnées disponibles sur notre site web www.zeendoc.com.

Vous avez aussi le droit d'introduire une réclamation auprès d'une autorité de contrôle et de former un recours juridictionnel, notamment si vos demandes d’exercice des droits n’ont pas été traitées dans un délai d’un mois après qu’elles ont été introduites. En France, l’autorité de contrôle est la CNIL qui peut être contactée via les formulaires idoines sur son site cnil.fr.

6 - Sécurité des données

Zeendoc prend toutes les mesures raisonnables et nécessaires pour protéger les données traitées contre les accès non autorisés, l'utilisation, la modification ou la destruction de données personnelles (ou potentiellement personnelles).

Par ailleurs, nous vous informons que des informations relatives à la sécurité, à la protection et à la confidentialité des données, notamment contenues dans les documents que vous versez dans Zeendoc, sont disponibles sur nos sites web et au sein des ressources mises à disposition des utilisateurs de Zeendoc.

7 - Sous-traitance

Zeendoc fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la réglementation européenne et garantisse la protection des droits de la personne concernée.

8 - Cession d’actifs

Si Zeendoc, ou la quasi-totalité de ses actifs, est vendu, ou dans le cas peu probable d’une cessation d’activité ou d’une faillite de Zeendoc, les informations des utilisateurs feraient partie des actifs transférés à un tiers ou acquis par celui-ci. Vous reconnaissez que ces transferts peuvent avoir lieu et que tout acquéreur de Zeendoc peut continuer à utiliser vos renseignements personnels conformément à la présente politique de confidentialité.

9 - Traceurs et cookies

Notre politique et les informations concernant notre usage des traceurs et des cookies est disponible dans le document « Traceurs et Cookies ».

10 - Publicité

Nous ne diffusons pas de publicité sur nos sites !

Néanmoins, certaines technologies que nous utilisons pour vous permettre de partager facilement du contenu de notre site www.zeendoc.com sur les réseaux sociaux, peuvent permettre aussi de tracer une partie de votre historique de navigation et de partage de façon à construire une liste de centres d’intérêt qui peuvent ensuite être utilisés pour vous proposer des publicités et des contenus personnalisés.

Pour plus d’information et savoir comment désactiver ces fonctions, se référer au document « Traceurs et Cookies ».

11 - Modifications de la politique de confidentialité

Bien que la plupart des changements soient susceptibles d’être mineurs, Zeendoc peut être amené à modifier sa politique de confidentialité, et ce, à sa seule discrétion. Zeendoc encourage les visiteurs de son site à vérifier fréquemment cette page afin d’y lire les éventuels changements concernant sa politique de confidentialité. L'utilisation d’un de nos sites après d'éventuels changements de politique de confidentialité constitue votre acceptation de ces changements.