Accord de confidentialité (GDPR)
Déclaration de confidentialité
onFin traite notamment des données à caractère personnel pour et au nom du client, car le client a conclu un contrat de licence logicielle avec onFin. onFin et le client sont donc tenus de conclure un contrat de sous-traitance conformément au Règlement général sur la protection des données (RGPD).
Ce contrat de traitement est intégré dans la Déclaration de confidentialité, consultable via https://www.enfact.be/accord-de-confidentialite. onFin est le 'sous-traitant' et le client est le 'responsable du traitement'. onFin et le client s'engagent mutuellement à respecter le RGPD. Les définitions des termes sont conformes au RGPD. onFin ne traitera les données à caractère personnel que pour le compte du client et dans le cadre de l'exécution du contrat.
Infinwebs BV, étant l'éditeur du logiciel enFact, stocke les données liées à l'utilisation du logiciel sur son infrastructure technique.
Instructions de traitement
Le traitement consiste à mettre à disposition le logiciel enFact avec les données saisies et générées par le client. onFin n'ajoutera, ne modifiera ni ne supprimera de données sans instructions spécifiques du client envoyées par e-mail à support@enfact.be.
Dans l’environnement personnel enFact du client, divers types de données à caractère personnel peuvent être enregistrés. onFin est conscient que le client peut saisir ces données, ainsi que d’éventuelles catégories de données supplémentaires, et qu'onFin les traitera notamment pour le stockage, la sauvegarde, la connexion, l’envoi des factures d’abonnement, etc. Le client est seul responsable de s'assurer que l'objectif et la nature du traitement sont conformes aux services fournis par onFin en ce qui concerne le logiciel enFact.
onFin collecte des données anonymisées sur l'utilisation de ses produits et services. Ces données permettent à onFin de mieux comprendre si, comment et à quelle fréquence certaines fonctionnalités du produit sont utilisées. Ces données anonymisées ne seront utilisées qu’à des fins d'amélioration des produits et services. onFin n’utilisera jamais ces statistiques à des fins commerciales ni ne les communiquera à des tiers.
Collecte de données
Le site web et l’application enFact utilisent des cookies qui stockent de petites quantités d’informations sur votre ordinateur. Il s'agit de trois sessions/groupes de données statistiques via Google Analytics (_ga, _gat et _gad) et d'un identifiant de session pour la gestion de la connexion (PHPSESSID). Lors de l'utilisation du logiciel enFact, un second identifiant de session (session_key) est stocké dans le stockage local ou dans un cookie.
onFin utilise le pixel Facebook et les cookies associés pour suivre les visiteurs du site web et analyser les campagnes promotionnelles.
Tous les visiteurs des sites web enFact sont anonymement inclus dans les statistiques d'utilisation via Google Analytics.
Obligation de confidentialité
onFin est conscient que les informations partagées et stockées par le client dans son environnement enFact sont confidentielles et sensibles sur le plan commercial.
Employés ayant accès aux données des clients
Seuls les administrateurs système d’enFact ont un accès complet aux données du client pour :
- installer une nouvelle version ;
- appliquer des correctifs et des mises à jour urgentes ;
- effectuer des sauvegardes ;
- importer des données à la demande explicite du client.
Les membres du support client n'ont accès aux données du client que s'ils ont reçu l'autorisation du client et uniquement pour la durée de cette autorisation. Cette autorisation est dans certains cas essentielle pour résoudre des problèmes spécifiques. Le client est responsable de l’octroi de cet accès, via l’onglet ‘RGPD’ sous ‘Paramètres de l’entreprise’ dans son compte enFact. Cet accès peut être révoqué à tout moment.
Dans le cadre du suivi d'une demande d’assistance signalée par le client, la communication avec le client à ce sujet est également conservée.
Sécurité
onFin prend en permanence des mesures techniques et organisationnelles appropriées pour protéger les données personnelles du client contre la perte ou toute forme de traitement illégal.
La connexion entre l'ordinateur de l’abonné (client) et les serveurs enFact est sécurisée par un certificat de cryptage 256 bits délivré par Amazon.
Les données que l’abonné (client) saisit dans son environnement enFact sont toujours protégées par le nom de compte et le mot de passe. Une couche de sécurité supplémentaire par authentification à deux facteurs via une application d’authentification peut être activée par le client. Le mot de passe d'un utilisateur est stocké de manière sécurisée et cryptée. Personne ne peut consulter le mot de passe personnel dans enFact.
Sous-traitants
onFin traite les données des clients dans les centres de données d'Amazon Web Services, qui agit en tant que sous-traitant. Les centres de données utilisés par enFin (serveurs physiques) sont situés en Irlande et respectent les réglementations européennes strictes en matière de sécurité logique et physique ainsi que de continuité. Ces centres de données sont certifiés au minimum ISO 27001. Les données (personnelles) sont traitées exclusivement dans l’Espace économique européen par onFin et son sous-traitant. onFin impose à ses sous-traitants les mêmes obligations qu’elle s’impose à elle-même. Amazon n’a pas accès aux données hébergées sur ces serveurs.
Connexions avec des prestataires tiers
Applications logicielles
En activant des intégrations disponibles avec d'autres applications logicielles, enFact peut partager des données avec des prestataires tiers dans le cadre de ces intégrations.
Le client choisit lui-même les intégrations qu'il active et est donc responsable de la relation entre son environnement enFact et l'accès qui est accordé par cette intégration. Le client devra conclure lui-même les accords nécessaires avec les tiers qui proposent ces intégrations.
Utilisateurs externes
Le client peut autoriser des utilisateurs externes à accéder à son environnement enFact depuis son propre compte. Le client est responsable de cet accès activé et doit s'assurer de sa conformité avec le RGPD.
Par exemple, si un client donne accès à son environnement enFact à son comptable, un accord conforme au RGPD doit être conclu entre le client et le comptable, dans lequel les droits et obligations des deux parties sont clairement définis.
onFin ne peut en aucun cas être tenue responsable des actions des utilisateurs externes ajoutés à un compte enFact par un client.
Droits en matière de confidentialité
onFin n’a aucun contrôle sur les données personnelles mises à disposition par le client. Sauf nécessité en fonction de la mission confiée par le client, consentement explicite du client ou obligation légale, onFin ne transmettra pas les données à des tiers et ne les traitera pas à d’autres fins que celles convenues. Le client garantit que les données personnelles peuvent être traitées sur la base d’un fondement juridique prévu par le RGPD.
Obligation de notification des violations de données
Le RGPD impose que les violations de données soient signalées à l'Autorité de protection des données par le responsable du traitement. onFin ne signalera donc pas elle-même d’incidents à l’Autorité belge de protection des données (APD). Bien entendu, onFin informera correctement, rapidement et complètement le client des incidents pertinents afin que le client, en tant que responsable du traitement, puisse remplir ses obligations légales. Plus d’informations
Si le client effectue une notification (préliminaire) auprès de l'APD et/ou des personnes concernées à propos d'une violation de données chez onFin , sans avoir informé onFin au préalable, le client sera responsable des dommages et frais encourus par onFin liés à cette notification. Si aucune violation de données n'est constatée chez onFin, le client est tenu de retirer immédiatement cette notification.
Notification au client
Si un incident de sécurité ou une violation de données se produit chez onFin, onFin en informera le client dans les plus brefs délais après avoir pris connaissance de la violation. Si la violation se produit chez un sous-traitant d’onFin, cette dernière le signalera également.
Suppression des données
À la fin du contrat, onFin supprimera toutes les données du client comme décrit dans les Conditions générales sous ‘Résiliation du contrat’. Si le client souhaite que les données soient supprimées plus tôt, une simple demande peut être faite à support@enfact.be.
Les données saisies dans enFact par l’abonné ou le client sont exportables dans un ou plusieurs formats.