Vie privée – RGPD


PMC Logiciels - RGPD

Notre entreprise PM Consultant met à disposition de ses clients des logiciels en tant que services (SaaS en Anglais pour Software as a Service). Ces logiciels sont conçus pour répondre aux besoins du plus grand nombre de ses utilisateurs mais aussi pour s’adapter à des besoins plus spécifiques de certains clients (réalisations sur-mesure). Ils ont été développés dès l’origine avec le soucis du respect de la vie privée des personnes et se conforment au RGPD (Règlement Général pour la Protection des Données).

A ce titre, notre entreprise PM Consultant, créatrice de la solution PMC Logiciels, endosse une double responsabilité en regard du RGPD.

  • Celle de RESPONSABLE DE TRAITEMENT par rapport aux données personnelles que nous collectons et traitons dans le cadre de notre relation commerciale avec nos clients. Nos clients sont les utilisateurs directs des logiciels que nous leur mettons à disposition.
  • Celle de SOUS-TRAITANT vis à vis de nos clients directs qui stockent et traitent leurs données en utilisant nos logiciels.

RGPD – RESPONSABILITÉ DE TRAITEMENT

En tant que Responsable de Traitement au sens RGPD et dans le cadre de notre activité professionnelle, nous collectons, enregistrons, traitons et conservons des données personnelles de nos clients. Nos clients sont exclusivement des professionnels. Ces données sont recueillies et utilisées directement dans le cadre de :

  • La relation commerciale que nous entretenons avec nos clients en vue d’établir les documents de vente d’usage que sont les devis, bons de livraison et factures de vente.
  • Du service après-vente que nous assurons sur les produits et services logiciels proposés (assistance et dépannage).
  • De prestations de services consistant à charger des données de nos clients dans les logiciels que nous leur mettons à disposition.

Nous ne réalisons pas de démarchage commercial auprès de prospects par le biais de base de données marketing ou de fichiers clients vendus spécialement pour la prospection. Nous décrochons nos clients quasi-exclusivement par des recommandations qui nous sont faites et par le bouche à oreille.

Les données personnelles de nos clients et leur traitement

Les données personnelles recueillies auprès de nos clients sont les suivantes :

DONNÉE PERSONNELLE TRAITEMENT CONSERVATION
Données d’identification et de localisation : nom, prénom, adresse postale, numéros de téléphone et adresse email de contact de nos clients. Etablissement de devis et de factures de vente, Personnalisation des documents de vente, Assistance à l’utilisation 10 ans (obligation fiscale)
Données de chargement dans le logiciel du client : fichier clients contenant nom, prénom, adresse postale, numéros de téléphone et adresse email de contact. Chargement dans le logiciel du client Non (suppression après traitement)

La sécurisation de nos données clients

PMC Logiciels - Sécurité des données

Nous mettons tout en oeuvre pour sécuriser les données de nos clients.

  • Seul le dirigeant de PM Consultant a accès aux données personnelles,
  • Il accède aux données personnelles en s’authentifiant par un identifiant et un mot de passe,
  • Les mots de passe d’accès aux données personnelles sont robustes et renouvelés tous les 6 mois,
  • Les données personnelles sont stockées en France et sauvegardées quotidiennement.
  • Les données personnelles sont cryptées pendant leur transport entre le terminal de saisie (PC, tablette, smartphone) et la machine de stockage (hébergement).
  • Les dispositifs logiciels de sécurité et antivirus sont mis à jour sur le terminal de saisie et la machine de stockage chaque semaine pour prévenir toute menace malveillante.
  • Aucune donnée personnelle en notre possession n’est communiquée à l’extérieur de notre entreprise et à quelque personne physique ou morale que ce soit.

Rectification et suppression des données personnelles de nos clients

En accord avec le RGPD, nous nous engageons à tout moment, sur simple demande écrite de nos clients et dans un délai maximum d’un mois, de rectifier ou supprimer (dans la limite de nos obligations de conservation des documents à valeur comptable et fiscale) les données personnelles qui sont en notre possession.

Pour cela, il suffit à nos clients de formuler leur demande par email (adresse disponible sur nos documents de vente) ou par le formulaire de contact de notre site internet.

RGPD – SOUS-TRAITANCE

En conformité avec le RGPD et en qualité de sous-traitant, nous mettons à disposition de nos clients des solutions logicielles hébergées sur internet offrant toutes les garanties de sécurité qu’ils peuvent attendre de nous pour la protection de leurs données personnelles.

D’autre part, nous nous engageons à accompagner nos clients utilisateurs de nos logiciels dans leur démarche de mise en conformité au RGPD, notamment dans l’élaboration de leur registre d’activités de traitement.

Nos mesures de sécurité

Les mesures de sécurité mises en oeuvre dans nos logiciels sont proportionnées à la sensibilité des données personnelles traitées par nos logiciels. Ces données personnelles concernent :

  • Les utilisateurs déclarés dans le logiciel (nom, prénom, email, mot de passe, horodatage et IP de connexion). Ces données ont pour objectif d’authentifier les utilisateurs et de vérifier que seules des personnes habilitées utilisent le logiciel.
  • Les clients et fournisseurs enregistrés et traités dans le logiciel (nom, prénom, téléphones, adresses postale et email). Ces données ont pour objectif d’établir les documents de vente (devis, bons de livraison et factures de vente) à des fins commerciales, à communiquer avec les clients et suivre les commandes passées auprès des fournisseurs.
  • Les documents électroniques stockés et traités dans le logiciel (photos, documents PDF, …). La finalité de ces documents est de contractualiser les ventes (devis, bons de livraisons et factures de vente), de justifier des achats réalisés auprès des fournisseurs (factures d’achat), de partager les procédures internes de l’entreprise et de suivre l’évolution des travaux réalisés dans le cadre d’une vente (photos de chantier).

Les dispositifs et technologies mis en oeuvre par nos logiciels pour assurer une sécurité adaptée aux données personnelles traitées sont synthétisés dans le tableau qui suit.

DISPOSITIF DE SECURITERISQUE COUVERT
Authentification des utilisateursProcédé consistant à authentifier un utilisateur par la saisie d’un identifiant de connexion et un mot de passe avant qu’il ne puisse utiliser le logiciel.Accès à des données personnelles par une tierce personne non autorisée.
Expiration de la session de connexionA la connexion au logiciel, l’utilisateur peut choisir entre une connexion privée ou publique.Accès à des données personnelles par une tierce personne prenant le contrôle du terminal d’un utilisateur connecté au logiciel.
Habilitation des utilisateursMécanisme consistant à limiter l’utilisation du logiciel aux seules fonctionnalités dont l’utilisateur a besoin dans le cadre de ses responsabilités.Accès à des données personnelles par un utilisateur du logiciel dont il n’a pas besoin d’accéder au vue des fonctions qu’il occupe dans l’entreprise.
Transfert de données cryptéesA l’utilisation du logiciel, les données échangées entre le terminal de l’utilisateur (ordinateur, tablette ou mobile) et l’hébergement du logiciel sont cryptées à l’aide du protocole de sécurité SSL (connexion en « https ») sous l’autorité de certification Let’s Encrypt.Interception et vol des données par une tierce personne sur un réseau public ou un réseau mal sécurisé.
Journal de connexions des utilisateursToutes les connexions au logiciel par les utilisateurs habilités sont consignées dans un journal et peuvent être consultées par le super utilisateur ou le fournisseur de service en cas de besoin d’analyse si des soupçons de connexions abusives sont suspectées.Connexion frauduleuse au logiciel.
Piste d’audit des données modifiéesToute modification de données (ajout, modification ou suppression) par le client utilisateur effectuée dans le logiciel est tracée dans la piste d’audit.Connexion frauduleuse au logiciel.
Altération ou suppression frauduleuse de données personnelles.
Sauvegardes et RestaurationLes données et les documents enregistrés dans le logiciel sont sauvegardés automatiquement par le sous-traitant en charge de l’hébergement à fréquence quotidienne.Altération ou suppression frauduleuse de données personnelles.

Nos engagements

Concernant les données (y compris personnelles) stockées par les services logiciels mis à leur disposition, nous nous engageons vis à vis de nos clients à :

  • Les accompagner dans la rédaction de leur registre d’activités de traitement RGPD,
  • Leur restituer l’intégralité de leurs données à tout moment dans un délai maximum d’un mois,
  • Supprimer la totalité de leurs données à la résiliation des services logiciels dans un délai maximum d’un mois,
  • Ne divulguer aucune de leurs données à quelque personne physique ou morale que ce soit,
  • N’accéder à leurs données que dans le cadre limité des interventions d’assistance demandées.
  • Ne transférer aucune de leurs données en dehors de l’Union Européenne,
  • Améliorer nos services logiciels pour leur faciliter les opérations de rectification et suppression des données personnelles de leurs propres clients,
  • Informer au plus tôt nos clients et la CNIL en cas de violation constatée de leurs données personnelles survenue à la suite d’actes de malveillance (piratage, virus, ransomware, …).

La responsabilité de nos clients

Nos clients, en tant qu’utilisateurs de nos services logiciels, sont seuls maîtres et responsables des données personnelles qu’ils collectent auprès de leurs propres clients et qu’ils enregistrent et traitent via nos services logiciels. Il agissent selon le RGPD en tant que Responsable de Traitement vis à vis des données personnelles qu’ils collectent et traitent directement.

Collecte et traitements de données sensibles

Nos clients s’engagent à ne pas stocker et à ne pas traiter de données personnelles sensibles à travers les services logiciels mis à disposition par PM Consultant.

Selon la CNIL, les données sensibles du point de vue du RGPD sont définies comme suit :

Ce sont les informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale.
Ce sont également les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Voir la page du site de la CNIL : Les données sensibles, c’est quoi ?

Respect des règles de sécurité élémentaires

Nos clients s’engagent à respecter les règles de sécurité élémentaires présentées ci-dessous pour garantir une efficacité optimale des dispositifs de sécurité mis en œuvre par PM Consultant.

PMC Logiciels - Règles de sécurité
  • Réserver le terminal d’accès au logiciel à un usage strictement professionnel.
  • Protection de l’utilisation du terminal d’accès au logiciel par la saisie d’un mot de passe.
  • Changement périodique du mot de passe (préconisé tous les 6 mois) utilisé pour authentifier le client utilisateur lors de son accès au logiciel.
  • En cas de perte ou d’oubli de mot de passe par un utilisateur, le nouveau mot de passe provisoire communiqué à l’utilisateur doit être changé dans les plus brefs délais.
  • Choix de mots de passe suffisamment robustes.
  • Les données extraites du logiciel par impression PDF ou export de fichiers CSV/Excel doivent être conservées provisoirement le temps de leur traitement puis être supprimées de leur espace de stockage.
  • Paramétrer dans le logiciel pour les envois par email des documents de vente, uniquement des adresses email professionnelles (avec le nom de domaine de l’entreprise) et non pas à des adresses email grand public du type Gmail, Yahoo, Orange, SFR ou autre.
  • Mettre à jour régulièrement les composants logiciels et systèmes de protection antivirus du terminal d’accès au logiciel.

Se référer pour plus de détails au GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE disponible sur le site internet http://www.ssi.gouv.fr/entreprise/