Accord sur la protection des données personnelles (freenium)

mentions

Article 1 – Définitions

L’accès à la Solution implique le respect des Conditions Générales d’Abonnement que l’Abonné reconnait avoir lues, comprises et acceptées. Les Conditions Générales d’Abonnement sont disponibles ici.

 

WITIK est sous-traitant de l’Abonné pour les différentes finalités poursuivies via les Services de la Solution. A ce titre, un Accord sur la protection des données personnelles entre en vigueur à la date de création du Compte par l’Abonné, au même moment que l’entrée en vigueur des CGA.

 

Au sein du présent document, les mots ou expressions commençant avec une majuscule auront la signification suivante :

 

Abonné : désigne le signataire des Conditions Générales bénéficiaire du Service Witik.

 

Abonnement : désigne l’abonnement au Service Witik dont la durée et les conditions financières sont visées au sein du Bon de Commande.

 

Conditions Générales d’Abonnement (CGA) : désigne le document encadrant la relation entre l’Abonné et Witik.

 

Données: désigne les données personnelles des Utilisateurs collectées et traitées pour les besoins de l’utilisation du Service Witik. Les Données sont hébergées au sein de l’Union Européenne, plus particulièrement en France.

 

Plateforme : désigne la plateforme web éditée par Witik accessible à partir de l’URL suivante : https://app.witik.io

 

Service Witik : l’ensemble des services et fonctionnalités en ligne proposés par WITIK auxquels les Utilisateurs peuvent accéder depuis la Solution.

 

Utilisateurs: désigne les personnes physiques habilitées par l’Abonné à accéder et à utiliser la Plateforme. 

 

Article 2 – Responsabilité et obligations de l'Abonné

L’Abonné est responsable du traitement des données personnelles figurant dans la Plateforme au sens de la règlementation applicable. A ce titre, l’Abonné garantit à Witik qu’il respecte les dispositions du Règlement n°2016/679 du 27 avril 2016 (le “RGPD”) ainsi que celles de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, et notamment :

 

  • Que les données personnelles contenues dans la Plateforme ont été collectées et traitées dans le respect de la règlementation applicable ;
  • Que l’Abonné a procédé à l’information des personnes concernées conformément à la réglementation ;
  • Le cas échéant, que la collecte et le traitement ont fait l’objet d’un consentement des personnes concernées ;
  • Qu’il permet aux personnes concernées d’exercer leurs droits conformément à la règlementation ;
  • Qu’il s’engage à ce que les informations soient rectifiées, complétées, clarifiées, mises à jour ou effacées lorsqu’elles sont inexactes, incomplètes, équivoques, périmées ou lorsque les titulaires souhaitent en interdire la collecte ou l’utilisation, la communication ou la conservation ;
  • Il est précisé que l’Abonné est seul responsable de gérer les durées de conservation des données personnelles qu’il intègre dans la Plateforme de Witik, et qu’il lui incombe de supprimer les données au fur et à mesure de l’expiration de leur délai de conservation. Witik n’a pour seule responsabilité et selon le choix de l’Abonné, de supprimer toutes les données personnelles ou de les renvoyer à l’Abonné au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données personnelles.

 

Par ailleurs, l’Abonné s’engage à n’intégrer dans la Plateforme de Witik aucune donnée personnelle dite “sensible” au sens de l’article 9 du RGPD, et notamment aucune donnée de santé, mais également aucune donnée relative aux condamnations pénales et aux infractions, au numéro de sécurité sociale, ou au numéro de carte bancaire. Witik ne peut en aucun cas être tenue responsable de la présence de telles données personnelles sur sa Plateforme, et des conséquences qui pourraient en découler. En cas de violation de la présente clause, l’Abonné sera seul responsable de toute conséquence, et s’engage à garantir, et le cas échéant indemniser Witik.

Article 3 - Responsabilité et obligations de Witik

Witik agit pour sa part en tant que sous-traitant de l’Abonné. A ce titre, Witik garantit à l’Abonné qu’il respecte les dispositions du Règlement n°2016/679 du 27 avril 2016 (le “RGPD”) ainsi que celles de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, et s’engage à respecter les obligations suivantes :

 

  • Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance, a l’exception du Point 6du présent Accord ;
  • Traiter les données conformément aux instructions documentées de l’Abonné. Si Witik considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement l’Abonné. En outre, si Witik est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer l’Abonné de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public. Il est précisé que la divulgation à des tiers des données personnelles contenue dans la Plateforme ne pourra intervenir que sur demande des autorités légalement compétentes, sur réquisition judiciaire, ou dans le cadre d’un contentieux judiciaire ;
  • Garantir la confidentialité des données personnelles traitées dans le cadre des services proposés par Witik ;
  • Veiller à ce que les personnes autorisées à traiter les données personnelles s’engagent à respecter la confidentialité et reçoivent la formation nécessaire en matière de protection des données personnelles ;
  • Dans la mesure du possible, aider l’Abonné à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Lorsque les personnes concernées exercent auprès de Witik des demandes d’exercice de leurs droits, Witik adresse ces demandes à l’Abonné par voie électronique.
  • Notifier à l’Abonné toute violation de données personnelles après en avoir pris connaissance ;
  • Aider le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données ;
  • Supprimer toutes les données personnelles ou de les renvoyer à l’Abonné au terme de la prestation de services relatifs au traitement, et détruire les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données personnelles.

Article 4 - Accès et utilisation des Services et Informations

Witik est autorisé à traiter pour le compte de l’Abonné les données personnelles nécessaires pour fournir l’ensemble des services proposés par la Plateforme.

 

La nature des opérations réalisées sur les données est : Hébergement, accès, modification, conservation, collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement.

 

La finalité du traitement est : L’hébergement des données personnelles contenues dans la Plateforme.

 

Les données à caractère personnel traitées sont : Les données d’identification (nom, prénom, etc.), les données professionnelles (email, fonction, etc.) et les données de connexion (logs de connexion, préférences de profil…).

 

Les catégories de personnes concernées sont : Les personnes sous l’autorité de l’Abonné (salariés, stagiaires, consultants, prestataire externes etc.).

Article 5 - Sous-traitance ultérieure

Witik peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le l’Abonné de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. L’Abonné dispose d’un délai minium d’un (1) mois à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si l’Abonné n’a pas émis d’objection pendant le délai convenu.

 

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions de l’Abonné. Il appartient à Witik de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, Witik demeure pleinement responsable devant l’Abonné de l’exécution par l’autre sous-traitant de ses obligations.

 

A cet égard, l’Abonné reconnaît et accepte que Witik fait appel aux sous-traitants suivants :

  • OVH, SAS au capital de 10.069,20 euros, immatriculée au RCS de Lille sous le numéro 424 761 419, dont le siège social est situé 2, rue Kellermann – 59100 Roubaix.
  • IGOCREATE, S.A.R.L. Unipersonnelle, 30 rue Leon Frot 75011 PARIS, RCS 802 891 143
  • Joincube, Inc. (Beamer) incorporated and registered in United States with EIN 46-4224945 whose registered office is at 3800 South Dupont, Dover, DE 19901
  • Stonly, 841 193 667 R.C.S Nanterre, 36 Rue Chaptal – 92300 Levallois-Perret.

Article 6 - Utilisation des données par Witik

L’Abonné est informé et accepte expressément que Witik, agissant en qualité de responsable de traitement, est amené à traiter les données personnelles saisie dans la Plateforme par l’Abonné, dans le cadre à la maintenance de la Plateforme, dans le cadre de l’évolution des fonctionnalités de la Plateforme, pour gérer les demandes d’assistance et afin de préserver la sécurité des données.

Article 7 – Description des mesures de sécurité en place chez Witik

WITIK s’engage à mettre en œuvre les mesures de sécurité suivantes afin de garantir la confidentialité, l’intégrité et la disponibilité des données.

 

AUTHENTIFICATION

 – Définition d’identifiant unique par collaborateur, interdiction des comptes partagés entre plusieurs utilisateurs.

 – Utilisation de mots de passe complexes respectant les recommandations de la CNIL pour que les collaborateurs accèdent à leur compte utilisateur depuis leur poste de travail.

 – Limitation du nombre de tentative d’accès aux comptes utilisateurs sur les postes de travail, blocage temporaire du compte lorsque la limite est atteinte.

 – Mise à disposition d’un gestionnaire de mots de passe pour avoir des mots de passe différents pour chaque service, tout en ne retenant qu’un mot de passe.

 

HABILITATIONS

 – Définition de profils d’habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité.

 – Suppression des permissions d’accès des utilisateurs dès qu’ils ne sont plus habilités à accéder à une ressource informatique, ainsi qu’à la fin de leur contrat.

 – Révision annuelle des habilitations afin d’identifier et de supprimer les comptes non utilisés, réalignement des droits accordées sur les fonctions de chaque utilisateur

 

SECURISATION DES POSTES DE TRAVAIL

 – Installation d’un mécanisme de verrouillage automatique de session en cas de non-utilisation du poste pendant un temps donné.

 – Installation d’un pare-feu logiciel, et limitation de l’ouverture des ports de communication à ceux strictement nécessaire au bon fonctionnement des applications installées sur le poste de travail.

 – Utilisation d’antivirus régulièrement mise à jour, et de logiciels régulièrement mis à jour.

 – Stockage des données des utilisateurs sur un espace de stockage régulièrement sauvegardé accessible via le réseau de l’organisme. Si stockage en local, synchronisation automatique.

 – Installation d’applications et de logiciels après demande auprès du service informatique qui procédera lui-même à l’installation (droits niveau administrateur).

 – Effacement sécurisé des données présentes sur un poste avant réaffectation à une autre personne.

 – Veille de sécurité sur les logiciels et matériels utilisés dans le SI de WITIK.

 – Installation des mises à jour des systèmes d’exploitation et vérification automatique hebdomadaire.

 

SECURISATION DE L’INFORMATIQUE MOBILE

 – Mise en œuvre de mécanisme de synchronisation des postes nomades pour se prémunir contre la disparition de données stockées.

 – Chiffrement du disque dur des postes nomades dans sa totalité

 – Verrouillage automatique du smartphone avec mot de passe ou schéma pour le déverrouiller (en plus du code PIN au démarrage)

 – Utilisation de VPN ISEC pour l’accès à distance. La confidentialité et l’intégrité est assurée par un chiffrement des données avec des algorithmes de chiffrement standard et une longueur de 256 bits dans le cas de IPSEC.

 

TRACAGE DES ACCES ET GESTION DES INCIDENTS

 – Mise en place d’un système de journalisation des activités des utilisateurs, des anomalies et des événements liés à la sécurité

 – Examens périodiques des journaux d’événements et notification le cas échéant dans les plus brefs délais de toute anomalie ou tout incident de sécurité

 – Protection des équipements de journalisation et des informations journalisées contre les accès non autorisés, notamment en les rendant inaccessibles aux personnes dont l’activité est journalisée.

 – Mise en place de procédure liée à l’obligation de notifier toute violation de DCP à la CNIL et le cas échéant d’informer les personnes concernées.

 

PROTECTION DU RESEAU INFORMATIQUE INTERNE

 – Limitation des accès internet en bloquant les services non nécessaires.

 – Chiffrement des réseaux Wi-Fi via le protocole WPA2, séparation des réseaux ouverts aux invités du réseau interne.

 – Limitation des flux réseau au strict nécessaire, filtrage des flux entrants/sortants sur les équipements (pare-feu, proxy, serveurs…).

 – Cloisonnement réseau en séparant le réseau interne du réseau accessible depuis internet (pare-feu).

 

SECURISATION DES SERVEURS

 – Limitation des accès aux outils et interfaces d’administration aux seules personnes habilitées, utilisation des comptes de moindres privilèges pour les opérations courantes.

 – Restriction des accès physiques et logique aux ports de diagnostics et de configuration à distance.

 

PROTECTION DES LOCAUX

 – Accès aux locaux limités par badge, et accès à la salle des serveurs strictement limité au service informatique, via badge spécifique.

 – Mise à jour régulière des personnes autorisées à entrer dans la salle des serveurs

 – Respect d’une procédure d’accompagnement des visiteurs en dehors des zones d’accueil du public par une personne appartenant à l’organisme

 – Protection physique des matériels informatiques (système anti-incendie, redondance d’alimentation électrique et de climatisation…)

 

SENSIBILISATION

 – Sensibilisation des collaborateurs de WITIK en contact avec des données clients aux risques liés aux libertés et à la vie privée, informations sur les mesures prises pour traiter les risques et les conséquences potentielles en cas de manquement.

 – Sensibilisation des collaborateurs de WITIK en contact avec des données clients aux bonnes pratiques de cybersécurité et aux principaux enjeux de la sécurité des systèmes d’information.