Politique de confidentialité et règlement général sur la protection des données (RGPD)

Pour accéder au contenu de cette page dans une autre langue, changez la langue dans laquelle le site est affiché.

t

1. Objet et champ d'application

La présente politique de confidentialité énonce les règles mises en place par notre organisation relativement à la protection des personnes physiques à l’égard du traitement et de la libre circulation des données à caractère personnel.

Les règles ci-énumérées s’appliquent au traitement des données à caractère personnel collectées par notre application et appelées à figurer dans un fichier dans le cadre de la prestation de notre service, qu’un paiement soit exigé ou non.

2. Définitions

Les définitions ci-mentionnées sont citées de l’Article 4 du RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL, soit le règlement général sur la protection des données (RGPD, mieux connu sous l’abréviation GDPR tirée de l’anglais) :

« Aux fins du présent règlement, on entend par :

  • «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

  • «traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;

  • «limitation du traitement», le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur;

  • «profilage», toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;

  • «pseudonymisation», le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;

  • «fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

  • «responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre;

  • «sous-traitant», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

  • «destinataire», la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement;

  • «tiers», une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel;

  • «consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

  • «violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données;

  • «données génétiques», les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question;

  • «données biométriques», les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;

  • «données concernant la santé», les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne;

  • «établissement principal»,

    a) en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l’établissement ayant pris de telles décisions est considéré comme l’établissement principal;
    b) en ce qui concerne un sous-traitant établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union ou, si ce sous-traitant ne dispose pas d’une administration centrale dans l’Union, l’établissement du sous-traitant dans l’Union où se déroule l’essentiel des activités de traitement effectuées dans le cadre des activités d’un établissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du présent règlement;

  • «représentant», une personne physique ou morale établie dans l’Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l’article 27, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement;

  • «entreprise», une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;

  • «groupe d’entreprises», une entreprise qui exerce le contrôle et les entreprises qu’elle contrôle;

  • «règles d’entreprise contraignantes», les règles internes relatives à la protection des données à caractère personnel qu’applique un responsable du traitement ou un sous-traitant établi sur le territoire d’un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe;

  • «autorité de contrôle», une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 51;

  • «autorité de contrôle concernée», une autorité de contrôle qui est concernée par le traitement de données à caractère personnel parce que:

    a) le responsable du traitement ou le sous-traitant est établi sur le territoire de l’État membre dont cette autorité de contrôle relève;
    b) des personnes concernées résidant dans l’État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l’être; ou
    c) une réclamation a été introduite auprès de cette autorité de contrôle;

  • «traitement transfrontalier»,

    a) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
    b) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres;

  • «objection pertinente et motivée», une objection à un projet de décision quant à savoir s’il y a ou non violation du présent règlement ou si l’action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant respecte le présent règlement, qui démontre clairement l’importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, le libre flux des données à caractère personnel au sein de l’Union;

  • «service de la société de l’information», un service au sens de l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil (19);

  • «organisation internationale», une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d’un tel accord. »

Règlement général sur la protection des données, UE, 2016, c 1, art 4.

3. Principes généraux

Dans le cadre des traitements effectués par LiGRE, les données à caractère personnel, tel qu’entendu à la section Définitions, sont collectées et traitées de manière :

  • licite, loyale et transparente;
  • à être utilisées pour des finalités déterminées, explicites et légitimes;
  • à ne pas être utilisées pour des finalités contraires aux finalités expliquées dans la présente politique;
  • à assurer la minimisation des données;
  • à être exactes et maintenues à jour pendant une durée n’excédant pas la durée nécessaire aux finalités ci-expliquées;
  • à garantir une sécurité appropriée.

Pour que le traitement des données à caractère personnel soit considéré licite, l’usager a consenti à ce que ses données à caractère personnel soient traitées pour les finalités ci-expliquées à la section 5.

k

4. Consentement

Les données à caractère personnel sont traitées par LiGRE lorsque le consentement de l’usager a été obtenu. L’usager peut, à tout moment, retirer son consentement, ce qui ne compromettra pas la licéité du traitement de ses données, ce qui signifie que les données ne seront pas traitées pour des finalités différentes que celles ci-expliquées à la section 5. Lorsque l’usager retire son consentement, les données à caractère personnel cessent d’être collectées et conservées.

5. Données collectées, pertinence et finalités

Les données à caractère personnel collectées par l’application sont fournies par l’usager qui a consenti, sont pertinentes et sont traitées pour les finalités ci-expliquées.

Les données à caractère personnel sont collectées lorsque le traitement impose une identification de l’usager. Toutes données à caractère personnel collectées pour un traitement ne nécessitant plus l’identification d’une personne cesseront d’être conservées.

Les données d’identification, telles que le nom, le prénom, la langue d’utilisation, l’adresse courriel et le mot de passe sont collectées pour permettre la création d’un compte et la reconnexion de l’usager à son compte, mais également pour lui fournir assistance lorsque nécessaire et que l’usager en formule la demande. L’usager peut choisir d’associer un autre compte, provenant de Facebook ou de Google, pour créer son compte d’utilisateur. Dans un tel cas, seul un ID d’authentification est obtenu.

Les données collectées dans le cadre de l’utilisation de l’application sont laissées optionnelles, l’usager est libre ou non de les fournir. Ces données, comme les informations sur le projet, la bibliographie des documents ou la photo, servent à l’usager qui veut créer une page publique pour son projet. Ces données ne sont pas utilisées pour le profilage.

Les fichiers téléversés par l’usager dans le cadre de la réalisation de son projet sont conservés et ne sont pas accédés par les membres de notre équipe sauf lorsqu’une demande d’assistance ou de support est formulée par l’usager responsable de ces données. Les fichiers téléversés par l’usager dans le but d’utiliser la transcription automatique sont transférés à un A.P.I. qui en fait la transcription et le réachemine à LiGRE. L’A.P.I. effectue un traitement automatisé qui implique une fragmentation du fichier. Aucune autre donnée à caractère personnel n’est transmise, uniquement le fichier à transcrire est transféré vers l’A.P.I..

L’adresse est collectée lors de l’achat de produit afin de savoir quelles taxes de vente doivent être facturées ainsi que dans quelle devise la transaction doit être facturée.

Lorsqu’un usager achète, LiGRE utilise la plateforme de Paypal. LiGRE collecte uniquement les données que Paypal lui transmet. Les informations bancaires ne sont pas transmises. Paypal transmet à LiGRE le succès ou le non succès du paiement, le nom et prénom de l’acheteur, son pays de résidence, le montant de l’achat ainsi que des numéros d’identification générés automatiquement par Paypal permettant d’identifier les transactions.

Certaines autres données à caractère personnel ne sont pas collectées par LiGRE mais peuvent être obtenues occasionnellement à des fins de support, elles ne sont utilisées qu’au besoin, afin d’assurer un support technique à un usager qui signale un problème avec son compte, ou peuvent être collectées dans des tables temporaires servant à assurer la sécurité de notre application. Il s’agit du navigateur, de l’adresse IP et des données de localisation.

6. Droits de nos usagers

Les usagers peuvent formuler une demande à LiGRE en lien avec les données à caractère personnel en tout temps en utilisant l’adresse courriel support@ligresoftware.com. LiGRE dispose de 30 jours pour donner suite à ces demandes et n’exigera pas de paiement pour répondre à ces demandes. Sauf pour les demandes jugées répétées ou abusives, LiGRE entend honorer toutes les demandes qui lui sont adressées en lien avec les données à caractère personnel dans les délais prescrits.

Les finalités et intérêts pour lesquels les données à caractère personnel sont collectées sont mentionnés à la section 5 de la présente politique. La durée de conservation de ces données n’excède pas la durée nécessaire au traitement des données.

6.1. Droit d’accès et droit de rectification

L’usager a le droit de demander à LiGRE d’accéder à ses données, tout comme il a le droit de demander que ces données soient rectifiées ou effacées. L’usager a aussi le droit de retirer son consentement à tout moment puis il a le droit d’introduire une réclamation auprès d’une autorité de contrôle.

L’usager a le droit d’obtenir la confirmation que des données à caractère personnel sont ou ne sont pas traitées. L’usager a le droit de connaitre les finalités du traitement, les données collectées, les destinataires auxquels les données peuvent être communiquées, la durée de conservation. L’usager a le droit de demander la rectification ou la suppression de ces données.

6.2. Droit à l’effacement

L’usager a droit à l’effacement, aussi appelé droit à l’oubli, dans les meilleurs délais lorsque l’usager retire son consentement ou qu’il désactive son compte d’utilisateur. L’usager peut formuler cette demande en tout temps, ce qui entrainera la suppression de son compte d’utilisateur et de toutes les données à caractère personnel conservées à son sujet.

6.3. Droit à la limitation du traitement

L’usager a le droit de demander à ce que le traitement de ses données à caractère personnel soit limité s’il :

  • Conteste l’exactitude des données;
  • Juge que le traitement est illicite;
  • Juge que LiGRE n’a plus besoin de conserver les données;
  • S’oppose au traitement effectué.

L’usager a le droit d’être notifié pour tout ce qui a trait à la rectification ou l’effacement de ses données, ou à la limitation du traitement de ses données à caractère personnel.

6.4. Droit à la portabilité

L’usager a le droit de demander à recevoir ses données à caractère personnel et a le droit de les utiliser auprès d’un autre responsable de traitement.

6.5. Droit à l’opposition

L’usager peut s’opposer à tout moment au traitement de ses données à caractère personnel s’il craint, notamment, le profilage. LiGRE n’effectue toutefois aucun profilage.

6.6. Droit d’être exclus d’une décision fondée sur un traitement automatisé tel que le profilage

L’usager peut demander à être exclus des décisions fondées sur des traitements automatisés tel que le profilage. LiGRE n’effectue toutefois pas ce genre de traitement.

6.7. Limitations

La portée des obligations de LiGRE et des droits des usagers peut être limitée par la voie de mesures législatives soumises par une autorité publique telle qu’un État. Une limitation constitue une mesure nécessaire et proportionnée pour garantir la sécurité nationale, la défense nationale, la sécurité publique, la prévention et la détection d’infractions pénales, la protection de l’indépendance des procédures judiciaires, la prévention et la détection de manquements à la déontologie des professions réglementées, la protection de l’usager ou des droits et libertés d’autrui et l’exécution des demandes énoncées par le code civil.

~

7. Protection des données

Afin de minimiser les risques d’atteintes à la vie privée et à la confidentialité des usagers, les règles de traitement de LiGRE prévoient des mesures de dé-identification avancées au nombre desquelles figure la pseudonymisation, la minimisation des informations collectées, la fragmentation et le partitionnement des données générées ou téléversées dans son environnement infonuagique.

8. Sécurité des données

LiGRE s’efforce de garantir à ses utilisateurs un taux de disponibilité annuelle de son environnement infonuagique de 99,9%. Cette garantie exclut cependant les interruptions nécessaires pour assurer la maintenance de l’application et du réseau. Elle exclut aussi tout événement résultant d’un «acte de Dieu».

De plus, LiGRE comprend un plan de sauvegardes (copies de secours) qui permet d’assurer le recouvrement de données dans les situations suivantes :

  • Une mise à jour de l’application
  • Une corruption de logiciel, de la base de données ou la perte de fichiers
  • Une corruption de la VM
  • Une panne partielle du serveur
  • Une panne complète du serveur
  • Toute autre défaillance matérielle (armoire, routeur / commutateur)
  • Une panne ou une interruption du service d’hébergement (incendie, panne d’alimentation prolongée, panne de télécommunication)