Politique de confidentialité
Comme vous le savez, nous sommes un fournisseur de services Cloud et, si vous lisez ce document, c’est que vous êtes
probablement client et/ou utilisateur d’un de nos services Kiosk (Kiosk, KDelib, KBox, KVote, etc.) et que vous vous intéressez à
la façon dont nous protégeons les données personnelles vous concernant.
Et de fait, par exemple, pour vous autoriser l’accès à nos services Kiosk, nous enregistrons des données personnelles telles
que votre nom d’utilisateur afin de vous authentifier lors de votre connexion Kiosk ou KBox.
Nos services Kiosk vous permettent également de créer et de diffuser vos propres documents ou assemblages de documents qui peuvent contenir des données personnelles qu’il vous faudra gérer à votre niveau en tant qu’auteur de ces
documents (par exemple, un tableau annexé à une délibération contenant une liste nominative de bénéficiaires).
Aussi, en tant que client de nos services Kiosk, vous avez probablement l’obligation de les mentionner dans votre propre registre
des traitements.
Afin de vous donner une vision claire de notre responsabilité et de nos engagements concernant la conformité au Règlement Général sur la Protection des Données, nous souhaitons d’une part vous informer à travers cette charte sur les tous
les aspects liés aux traitements des données personnelles réalisés à QUALIGRAF.
Nous distinguons d’une part les données et les traitements situés sur notre infrastructure Cloud qui héberge nos services
Kiosk accessibles à nos clients et d’autre part les données et traitements situés sur notre propre système d’information
interne.
Les services KiosK dans le cloud
LES DONNÉES PERSONNELLES
Les données personnelles qui sont enregistrées dans les bases de données des services Kiosk sont limitées au minimum
permettant de garantir les fonctionnalités et la qualité de service proposées aux clients et à ses utilisateurs.
Dans l’environnement Kiosk/KBox, les données personnelles concernées sont : le genre, le nom, le prénom, la photographie d’identité, le groupe, la commission ou le service d’appartenance, la fonction, les adresses courriel, le numéro de
téléphone, les mots-de-passe (cryptés). Aucune donnée sensible (au sens du RGPD) n’est collectée et enregistrée dans
l’environnement Kiosk.
Il est important de noter que QUALIGRAF ne collecte pas les données personnelles de sa propre initiative. Toutes les
données personnelles sont collectées par ses clients ou par leurs utilisateurs et sont officiellement communiquées à QUALIGRAF par courriel sous forme d’un fichier Excel (pour les listes d’utilisateurs), d’une fiche individuelle (lorsqu’il s’agit
d’un seul utilisateur ou d’un petit groupe d’utilisateurs) ou directement par les utilisateurs via l’application KBox afin de
paramétrer les environnements des clients pour la mise en œuvre de leurs services de gestion et d’envoi/réception dématérialisés.
Il résulte de cette organisation que ce sont les clients qui sont responsables de la mise à jour des données personnelles
de leurs utilisateurs (à travers leurs demandes transmises à QUALIGRAF par courriel) et dont il est de leur responsabilité de vérifier l’exactitude. In fine, en plus d’être garant de la disponibilité 24/7 de l’accès aux données personnelles
utilisées par les services Kiosk, QUALIGRAF tient le rôle d’administrateur technique et fonctionnel des environnements de
ses clients.
LES TRAITEMENTS SUR LES DONNÉES PERSONNELLES
• Les données à caractère personnel ne sont utilisées que si l’utilisateur y a consenti (directement ou indirectement) ou
si cette utilisation est requise par la protection de nos intérêts légitimes, l’exécution d’un contrat ou d’un engagement
avec le donneur d’ordre ou l’utilisateur ou le respect d’une obligation légale et réglementaire.
• Les traitements opérés dans les environnements Kiosk et KBox sur les données personnelles sont légitimes et cohérents
par rapport aux descriptifs des services vendus aux donneurs d’ordre.
• Liste des principaux traitements :
– L’authentification de l’utilisateur dans les environnements Kiosk et KBox,
– L’envoi automatique de documents dans les KBox des utilisateurs et de courriels associés dans leur boite
aux lettres électronique,
– La production de preuves de dépôt (fichier XML et document PDF) incluant la liste nominative des uti
lisateurs
– L’affichage des noms des auteurs/participants de notes ou de conversations des utilisateurs KBox
– La gestion des états de présence et des votes
LA SÉCURITÉ DES TRAITEMENTS ET DES DONNÉES PERSONNELLES
Protection : de nombreuses dispositions techniques et organisationnelles sont mises œuvre dans nos environnements d’exploitation informatique pour assurer la protection physique et logicielle de l’ensemble de l’infrastructure Kiosk/KBox et
notamment des données personnelles : accès limité à un nombre restreint de personnes assermentées, contrôle biométrique et physique des intervenants, pares feux matériels et logiciels, hébergement dans des data centers franciliens de
classe opérateur, etc.
Accès protégés : un nombre très limité de collaborateurs de QUALIGRAF est chargé de l’exploitation et de l’administration des environnements Kiosk et KBox. Ils ont seuls la possibilité d’accéder aux données personnelles contenues dans les
environnements de nos clients et leurs accès sont doublement contrôlés avec authentification par identifiant/mot de passe
et vérification d’une adresse IP de connexion prédéfinie.
Localisation : conformément à nos conditions générales d’utilisation des services Kiosk dont nos clients peuvent prendre
connaissance, toutes les données Kiosk/KBox de tous nos clients sont localisées dans notre infrastructure située sur le territoire national.
Sauvegarde : une sauvegarde de l’intégralité des environnements de nos clients est réalisée quotidiennement avec un
durée moyenne* de récupération des données comprise entre 5’ et 60’ selon la gravité de l’incident (* mesures constatées dans le cadre des PRA annuels effectués par nos techniciens).
Transparence : si malgré toutes nos précautions, nous constations un vol de données, nous en informerions nos clients et
leur communiquerions la liste de leurs utilisateurs potentiellement impactés par l’incident.
Conservation et portabilité : conformément à nos conditions générales d’utilisation des services Kiosk, les données personnelles de nos clients et de leurs utilisateurs sont conservées sur nos systèmes un(1) mois à l’issue de la période contractuelle (ce délai peut être prolongé à la demande du client). Pendant cette période, les utilisateurs peuvent télécharger
localement l’ensemble de leurs documents dans leur format natif pour une utilisation dans leur propre environnement
matériel et logiciel.
LES DROITS DES UTILISATEURS
• Les donneurs d’ordre et leurs utilisateurs disposent de droits spécifiques sur les données personnelles dans l’environnement Kiosk.
• Le droit de retirer un consentement à l’utilisation de données personnelles (nous sommes cependant susceptibles de
continuer à utiliser les données personnelles pour la protection de nos intérêts légitimes, l’exécution d’un contrat avec
le donneur d’ordre ou le respect d’une obligation légale et réglementaire),
• Le droit de faire modifier ou corriger des données personnelles,
• Le droit de faire supprimer des données personnelles (la protection de nos intérêts légitimes, l’exécution d’un contrat
avec le donneur d’ordre ou le respect d’une obligation légale et réglementaire peut cependant nous imposer de
conserver les données personnelles).
• Tous ces droits sont régis d’une part par les conventions qui lient le donneur d’ordre et ses utilisateurs et d’autre part
par les clauses du contrat qui encadre la prestation de service de QUALIGRAF vis à vis du donneur donneur d’ordre.
• En l’absence de contrat, ce sont les Conditions Générales d’Utilisation des services Kiosk qui en tiennent lieu.
• Pour exercer ces droits, les utilisateurs sont invités à nous envoyer un courrier en recommandé avec accusé de réception à l’adresse suivante :
QUALIGRAF
A l’attention du DPO
32, rue Brancion
75015 Paris
• Une réponse sera apportée dans un délai maximum d’un mois à compter de sa réception (le cachet de la poste
faisant foi).
• Les utilisateurs disposent également du droit de déposer une réclamation directement auprès de la Commission Nationale Informatique et Liberté.
LES OUTILS AU SERVICE DES UTILISATEURS POUR AMELIORER LA SECURITE DE LEURS DONNEES
Les utilisateurs disposent de plusieurs moyens d’améliorer eux-mêmes la sécurité de leurs données personnelles. Ils
peuvent les mettre en œuvre en fonction du niveau de contrainte qu’ils sont prêts à accepter dans l’utilisation du système.
Pour les utilisateurs Kiosk
Restriction IP : Il est possible de contrôler et restreindre les adresses de site pouvant accéder à l’interface Kiosk.
Limitation de la durée des sessions : Il est possible de paramétrer la durée maximale d’inactivité lors d’une session Kiosk
: 30, 60 ou 90 minutes.
Chiffrement : il est possible de chiffrer des documents nécessitant un très haut niveau de confidentialité que seuls les
destinataires KBox dotés de la bonne clé pourront déchiffrer. Cette option est néanmoins couteuse en ressource de calcul
et est susceptible de ralentir l’affichage d’un document dans KBox.
Politique de protection des données personnelles
4/5
Conseils de bonnes pratiques :
• Éviter de partager un même compte de connexion. Cela empêche de tracer l’activité des utilisateurs, peut engendrer
un blocage d’accès au compte pour les autres utilisateurs en cas de modification de mot-de-passe ou permettre l’accès au compte à un utilisateur dont l’accréditation a expiré.
• Renouvellement du mot-de-passe : bien que l’utilisateur puisse choisir son nouveau mot-de-passe, laisser l’application
le choisir à sa place offre de meilleures garanties de sécurité.
• Restriction d’accès aux documents : Il est possible, à partir de l’environnement Kiosk, de limiter l’ouverture des documents aux utilisateurs KBox utilisant l’application éponyme. Ceci permet d’empêcher la diffusion des documents à
l’extérieur du collège des destinataires KBox. Il est également possible, à partir de l’environnement Kiosk, de limiter
l’accès à des documents confidentiels à la stricte durée d’une réunion : ceux-ci ne sont disponibles aux utilisateurs que
sur une tranche horaire prédéfinie.
Pour les utilisateurs de l’application KBox
• Restriction d’accès à l’application : Il est possible de choisir l’option de verrouillage de l’application KBox par code
PIN. Comme l’identifiant et le mot de passe de l’utilisateur sont enregistrés dans l’application, cette possibilité offre
une solution confortable et sécurisée d’accès aux données dans la KBox. Sur la tablette iPad, il existe également
une possibilité de verrouillage par code PIN de l’environnement de la tablette. Cette possibilité de sécurisation de
l’accès aux applications et à leurs données est cependant moins fiable notamment dans le cas de prêt de la tablette
à autre utilisateur.
• En cas de perte de la tablette équipée de l’application KBox, les utilisateurs peuvent nous contacter. Après nous être
assuré de l’identité du client et/ou du propriétaire, nous ferons rapidement le nécessaire pour désactiver l’accès au
compte KBox et empêcher son ouverture
Notre système d’information interne
Où stockons-nous vos données personnelles ?
Nous stockons les données personnelles dans 2 environnements applicatifs :
• Ines CRM (pour la gestion de la relation client)
• Google G Suite (pour la bureautique et la messagerie)
Quelles données personnelles y stockons-nous ? Pour quelles utilisations ? Pour quelles raisons ?
Ines CRM
Les données personnelles enregistrées dans cet environnement sont limitées pour chaque contact à : nom, prénom, nom
de l’organisation, numéros de téléphone et adresses courriels
Les traitements sur les données personnelles sont limités à l’édition de courriers, de devis, de factures, de newsletters et
de bulletins techniques.
La sécurité de l’accès aux données personnelles est assurée par un droit d’utilisation limité à un petit nombre de collaborateurs nommés de QUALIGRAF authentifiés dans l’application par un mot de passe individuel crypté.
Les données personnelles seront modifiées/supprimées dès que nous serons informés par votre organisation d’un changement et/ou d’un départ.
Ines CRM est un service Cloud hébergé en Suisse et qui apporte toutes les garanties concernant la protection des données
(https://www.inescrm.fr/nos-services/securite ).
G Suite
QUALIGRAF utilise l’environnement bureautique de la société Google.
Les données personnelles enregistrées dans cet environnement sont limitées pour chaque contact à : nom, prénom, nom
de l’organisation, numéros de téléphone et adresses courriels
Les traitements sur les données personnelles sont limités à l’envoi de courriels et d’invitations à des réunions électroniques.
La sécurité de l’accès aux données personnelles est assurée par un droit d’utilisation limité aux collaborateurs nommés
de QUALIGRAF authentifiés dans l’application par un mot de passe individuel crypté.
Les données personnelles pourront être modifiées/supprimées dès que nous serons informés par votre organisation d’un
changement et/ou d’un départ.
G Suite est un ensemble de services Cloud de la société Google dont la conformité au RGPD peut être consultée à
l’adresse suivante : https://privacy.google.com/intl/fr_fr/businesses/compliance
NOUS CONTACTER
Une information ou une démonstration ?