POLICE DE VIE PRIVEE DE WINBOOKS

(dernière mise à jour 25/05/2018)

La présente police régit WINBOOKS (about-us.pdf) dans ses relations avec les tiers (fournisseurs, clients, partenaires et utilisateurs) en ce qui concerne le traitement des données à caractère personnel. Pour les besoins de la présente police, elles seront désignées comme « WINBOOKS » ou comme « Nous » / « nous » et les tiers seront désignés comme tels (fournisseurs, clients, partenaires et utilisateurs) ou comme « Vous » / « vous ».

Nous y aborderons successivement les sujets suivants :

• Le cadre règlementaire et les définitions ;
• Les engagements de WINBOOKS en qualité de responsable de traitement ;
• Les engagements de WINBOOKS en qualité de sous-traitant ;
• Les mesures de sécurité des données à caractère personnel ;
• Le transfert des données à caractère personnel à des prestataires externes
• La nomination d’un DPO.

1. Le cadre règlementaire et les définitions

WINBOOKS a pour règle absolue de toujours agir conformément aux règlementations applicables dont, notamment,

• La Loi belge du 8 décembre 1992 sur la protection de la vie privée ;
• Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
• La Charte des droits fondamentaux de l’Union européenne (2012/C 326/02) ;
• La Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.

WINBOOKS s’engage à se conformer aux obligations lui incombant en vertu des réglementations susmentionnées et, particulièrement, du Règlement général sur la protection des données (« RGPD »). Cet engagement de conformité permet aux clients de WINBOOKS de respecter leurs propres obligations légales.

C’est notamment au regard du RGPD que WINBOOKS disposera d’obligations distinctes : en sa qualité de sous-traitant ou de responsable de traitement.

Pour la bonne compréhension de la présente police, définissons quelques termes particulièrement importants au regard de cette règlementation :

• Les données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement ;
• Le traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel (collecte, enregistrement, transmission, stockage, conservation, extraction, consultation, utilisation, etc. ...) ;
• Le responsable du traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ;
• Le sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

2. Les engagements de WINBOOKS en qualité de responsable de traitement

WINBOOKS est qualifié de « responsable de traitement » lorsqu’il détermine les finalités et les moyens de « ses » traitements de données à caractère personnel.

C’est typiquement le cas quand WINBOOKS collecte les données de ses fournisseurs, clients, partenaires et utilisateurs, à des fins de facturation, de gestion des recouvrements, de l’amélioration de la qualité des services et de la performance, de démarchage commercial, de gestion commerciale,

Dans cette hypothèse, les données qui sont conservées par WINBOOKS et sont relatives à des personnes morales, ne sont pas concernées. En revanche, les informations à caractère personnel dont celles relatives à vos salariés (identité et coordonnées de l’interlocuteur de WINBOOKS dans le cadre d’une demande d’assistance technique, par exemple) le sont.

Dans ce cadre, WINBOOKS souhaite vous informer sur les garanties mises en œuvre afin d’assurer la protection de ces données à caractère personnel. Celles-ci reposent, notamment, sur les engagements suivants :

1. Limiter la collecte de données à celles strictement utiles

C’est dans le cadre de cette démarche que lors de la commande ou fourniture d’un service ou produit, vous ne renseignez que des données nécessaires afin que WINBOOKS puisse assurer des services de facturation, de comptabilité ou de support, la bonne exécution du contrat la liant avec le tiers ou le respect de ses propres obligations légales en matière de conservation de données.

2. Ne pas utiliser les données collectées à d’autres fins que celles pour lesquelles elles sont collectées

Ces fins sont essentiellement les suivantes :

• Offres de service et relations avec les clients Nous pouvons utiliser les données à caractère personnel de nos clients afin de réaliser nos activités ou de fournir nos services.
  Dans ce cadre, nous récoltons et traitons les données de nos clients : leur nom et leurs prénoms, leurs adresses e-mail, leur(s) numéro(s) de téléphone et leur adresse ainsi que les données à caractère personnel relatives aux personnes de contact renseignées par nos clients.
• Information et communication. Nous pouvons utiliser les données à caractère personnel de nos clients pour les informer sur nos activités, services ou produits ou de nouveautés qui, selon nous, pourraient les intéresser.
  Dans ce cadre, nous récoltons et traitons les données de nos clients : leur nom et leurs prénoms, leurs adresses e-mail, leur(s) numéro(s) de téléphone et leur adresse, les données à caractère personnel relatives aux personnes de contact renseignées par nos clients ainsi que des données liées à leurs centres d'intérêt/besoins.
• Statistiques, étude scientifique et amélioration des produits Nous pouvons utiliser les données à caractère personnel à des fins statistiques, en vue de réaliser une étude scientifique ou à des fins d’amélioration de nos produits (nouvelles fonctionnalités, stabilité, ...). Nous pouvons notamment utiliser ces informations afin de générer des informations sur l’utilisation de nos produits ou services, leurs qualités, la segmentation du marché, .... Ces informations peuvent également être utilisées à des fins de marketing direct (cf. profilage ci-dessous). Ici aussi, nous récoltons et traitons les données de nos clients : leur nom et leurs prénoms, leurs adresses e-mail, leur(s) numéro(s) de téléphone et leur adresse, les données à caractère personnel relatives aux personnes de contact renseignées par nos clients ainsi que des données sur leurs centres d'intérêt/besoins.
• Profilage
  Vos données à caractère personnel pourront être utilisées à des fins de marketing direct afin de cibler de manière optimale la clientèle de nos produits et services, ses besoins et ce, notamment, par le biais de communications pertinentes (ex. newsletters, informations spécifiques sur le fonctionnement de certains produits ou services, de nouvelles versions...).
  Plusieurs critères sont utilisés dans ce cadre, tels que :
  • a langue d’usage mentionnée dans nos différentes applications ou la langue renseignée lors de l’ouverture d’un compte ou de l’utilisation d’un formulaire ;
  • le type d’activité professionnelle communiquée lors de l’ouverture d’un compte ou de l’utilisation d’un formulaire ;
  • le rôle de l’utilisateur par rapport à nos applications (ex. utilisateur/administrateur), ....
  La présente police doit être lue en conjonction avec notre police de cookies reprise sous le lien : police-de-cookies-winbooks.pdf .

3. Conserver les données à caractère personnel durant une période limitée et proportionnée

Les données traitées à des fins de gestion de la relation avec le client (nom, prénom, adresse postale, e-mail, etc.) sont conservées par l’entreprise pendant toute la durée du contrat et plus généralement, pendant la période requise pour gérer les conséquences juridiques et commerciales de la relation avec le client (garanties, prescription, ...). Au- delà de cette période, elles sont supprimées de tous supports et sauvegardes.

Les informations recueillies aux autres fins sont conservées pour une période de (36 mois), sauf manifestation de la volonté de la personne concernée d’exercer son droit à l’oubli.

4. Ne transférer ces données qu’à des sociétés apparentées à WINBOOKS ou à des tiers qui interviennent dans le cadre de l’exécution du contrat

En cas de transfert à de telles personnes, WINBOOKS veillera à la mise à jour de l’information consultable par les fournisseurs, clients, partenaires et utilisateurs concernés et s’assurera du fait que les récipiendaires de ces données soient soumis à des règles équivalentes à celles pesant sur la société WINBOOKS ayant initialement reçu les données des personnes concernées.

Dans le cadre de tels transferts, certaines données peuvent être transférées en dehors de l’Union Européenne mais seulement sur le fondement de la règle précitée.

A cet égard, nous référons au point 5 de la présente police.

5. Mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de sécurité telles que décrites au point 4 de la présente police.

6. Vous notifier dans les meilleurs délais tout cas de violation de données ainsi que suivre les process en vigueur en cas de violation des données.

7. Garantir les droits des personnes concernées par les données à caractère personnel ainsi que décrit dans la déclaration de confidentialité reprise sous le lien declaration-confidentialite-winbooks.pdf

3. Les engagements de WINBOOKS en qualité de sous-traitant

WINBOOKS est qualifiée de « sous-traitant » lorsqu’elle traite des données à caractère personnel pour le compte d’un responsable de traitement.

C’est, notamment, le cas lorsque les fournisseurs, clients, partenaires et utilisateurs utilisent les « services cloud » de WINBOOKS et hébergent des données à caractère personnel sur une infrastructure WINBOOKS. Dans la limite de ses contraintes techniques, WINBOOKS ne pourra traiter les données hébergées que selon les instructions de ces derniers, et ce pour leur compte.

En qualité de sous-traitant des informations hébergées par ceux-ci sur le cloud (nous ne visons pas ici les données que WINBOOKS possède sur ceux-ci en qualité de contrôleur des données -ex. les données des clients- mais les informations personnelles incluses dans les informations hébergées sur le cloud), WINBOOKS s’engage, notamment, à mettre en œuvre les mesures suivantes :

1. Traiter les données à caractère personnel aux seules fins de la bonne exécution des services cloud

WINBOOKS ne traitera pas lesdites informations à d’autres fins (marketing, etc.) que celles requises par le fonctionnement du cloud et conformément aux conditions d’utilisation.

2. Ne pas transférer les données à des prestataires ne disposant pas d’un niveau de protection suffisant et vous informer de tout recours à des sous- traitants qui pourraient traiter vos données à caractère personnel

Nous renvoyons à cet égard au point 5 de la présente police.

3. A mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation à nos clients, partenaires et utilisateurs

Nous vous référons au point 4 de la présente police.

4. Vous notifier dans les meilleurs délais tout cas de violation de données ainsi que suivre les process en vigueur en cas de violation des données.

5. Dans les limites d’une demande raisonnable, vous aider à respecter vos obligations réglementaires en vous fournissant une documentation adéquate relative à nos services.

6. N’accéder aux données à caractère personnel utilisées et stockées par les fournisseurs, clients, partenaires et utilisateurs dans le cloud qu’à des conditions bien précises.

Les données hébergées par les fournisseurs, clients, partenaires et utilisateurs dans le cadre des services cloud de WINBOOKS restent la propriété des fournisseurs, clients, partenaires et utilisateurs.

WINBOOKS n’y accède et ne les utilise que lorsque cela est nécessaire dans le cadre de l’exécution des services et dans la limite de ses contraintes techniques.

WINBOOKS s’interdit toute revente des données hébergées, de même que toute utilisation de celles-ci à des fins personnelles (telles des activités de datamining, de profilage ou de marketing direct).

WINBOOKS accède aux données hébergées dans le cloud uniquement dans trois situations :

• Pour les besoins de l’exécution des services et notamment afin d’optimiser l’assistance aux utilisateurs lorsque ceux-ci contactent le support WINBOOKS. Dans cette hypothèse, les accès aux données hébergées restent encadrés grâce à des habilitations spécifiques et des mesures de contrôle et de sécurité particulières ;
• Pour les besoins de la détection d’anomalies générales et de leur correction.
• Et/ou afin de répondre aux obligations légales dans le cadre des demandes judiciaires et/ou administratives. Ces demandes sont très strictement encadrées.

Accès dans le cadre du support

Lorsque l’utilisateur au sens large, y compris son revendeur WINBOOKS, prend contact avec le support WINBOOKS, selon l’objet de l’assistance, deux catégories de données peuvent faire l’objet d’un accès. D’une part, afin de traiter au mieux la requête de l’utilisateur, le support prend connaissance des informations fournies par ce dernier lors de la création de son compte WINBOOKS (nom, prénom, numéro de téléphone, adresse e-mail, etc.). D’autre part et uniquement à la demande expresse de l’utilisateur, et sous réserve des contraintes techniques propres à chaque service, le support peut avoir accès aux données hébergées par celui-ci sur les services WINBOOKS, afin d’identifier l’origine du problème rencontré et, éventuellement, de le résoudre.

Accès dans le cadre de la détection d’anomalies générales et de leur correction

Lorsque WINBOOKS s’aperçoit d’une anomalie affectant les données hébergées de plusieurs utilisateurs et est obligée de procéder à des tests et des manipulations non individualisées afin de corriger ces anomalies, sans pour autant modifier les données hébergées ou les utiliser à d’autres fins que celles de détecter et/ou de corriger ces anomalies.

Accès dans le cadre d’une demande des autorités judiciaires et/ou administratives

Afin d’agir en conformité avec la réglementation en vigueur, WINBOOKS est tenu de répondre aux demandes des autorités judiciaires et/ou administratives. Les demandes d’accès étant soumises à un régime légal strict, WINBOOKS ne les autorise qu’après s’être assurée de la validité et du bien-fondé de la requête. De plus, dès lors que la requête ou la loi ne l’interdit pas, WINBOOKS s’engage à prévenir dans les meilleurs délais, les clients, partenaires et utilisateurs, d’une telle demande. Pour les requêtes qui émaneraient d’un pays tiers, celles-ci ne sont traitées qu'à la condition qu'elles soient fondées sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État membre.

Il est entendu que les données personnelles des fournisseurs, clients, partenaires et utilisateurs des services cloud qui ne sont pas des données hébergées mais relèvent de la fonction de WINBOOKS en tant que responsable de traitement suivent les règles évoquées au point 2 de la présente police.

4. Les mesures de sécurité des données à caractère personnel

Il est essentiel de faire la distinction entre la sécurité des données hébergées par les fournisseurs, clients, partenaires et utilisateurs dans le cloud WINBOOKS et la sécurité des infrastructures sur lesquelles ces informations sont hébergées.

Sécurité des données hébergées par le client dans le cloud WINBOOKS : le client est seul responsable d’assurer la sécurité de ses ressources et systèmes d’applications qu’il utilise dans ledit cloud. Des fonctionnalités sont mises à disposition par WINBOOKS afin d’accompagner fournisseurs, clients, partenaires et utilisateurs dans la sécurisation de ses données.

Sécurité des infrastructures : WINBOOKS s’engage à assurer la sécurité de ses infrastructures, notamment en ayant mis en place une politique de sécurité des systèmes d’information (accès contrôlés, accréditations et mots de passe). De plus, WINBOOKS n’utilise que des infrastructures tierces (datacenters) ultrasécurisées et reconnues comme telles. Nous vous renvoyons au point 5 de la présente police à cet égard.

Sécurité des infrastructures WINBOOKS

WINBOOKS a, notamment, mis en place les mesures de sécurité suivantes :

• Des mesures de sécurité physique afin d’empêcher l’accès aux infrastructures sur lesquelles sont hébergées les données des fournisseurs, clients, partenaires et utilisateurs par des personnes non autorisées ;
• Un système de gestion des habilitations permettant de limiter l’accès aux données aux seules personnes ayant besoin d’y accéder dans le cadre de leurs fonctions et de leur périmètre d’activité ;
• Un système d’isolation logique (en fonction des services) des fournisseurs, clients, partenaires et utilisateurs entre eux ;
• Des processus d’authentification forts des utilisateurs et administrateurs grâce notamment à une politique stricte de gestion des mots de passe et le déploiement de certaines mesures de double authentification à certains niveaux ;
• Et des processus et dispositifs permettant de tracer certaines actions réalisées sur son système d’information et d’effectuer, conformément à la réglementation en vigueur, des rapports en cas d’incident affectant les données du client.

Le transfert des données à caractère personnel à des prestataires externes

WINBOOKS, qu’il agisse en qualité de responsable de traitement ou de sous-traitant, veille strictement au respect du RGPD, en ne transférant les données à caractère personnel des fournisseurs, clients, partenaires et utilisateurs, qu’à des prestataires externes répondant à des conditions équivalentes à celles régissant WINBOOKS en matière de traitement de telles données. Ces prestataires sont soumis à de telles conditions soit sur une base contractuelle, une base règlementaire ou de gouvernance volontaire.

WINBOOKS agit en toute transparence vis-à-vis de ses fournisseurs, clients, partenaires et utilisateurs. En conséquence, vous trouverez la liste desdits prestataires sous le lien :

Quels sont les engagements de WINBOOKS en matière de localisation des données ?

Lorsqu’un service permet aux fournisseurs, clients, partenaires et utilisateurs d’héberger des données, WINBOOKS s’engage à mettre à jour l’information consultable en ce qui concerne la localisation ou de la zone géographique dans laquelle se situe(nt) le ou les datacenters. Cette information figure sous le lien suivant: sous-traitants-de-donnees-winbooks.pdf

6. Nomination d’un DPO

Bien que cela ne relève pas d’une obligation règlementaire ou légale, WINBOOKS ayant à cœur de protéger les données à caractère personnel de ses fournisseurs, clients, partenaires et utilisateurs a choisi de désigner un délégué à la protection des données. Il s’agit d’un expert en matière de protection des données à caractère personnel, qui fournit une garantie supplémentaire du bon traitement de telles données. Vous trouverez ses coordonnées ci-dessous :