Politique de confidentialité KYOVALT
LE 21 JUIN 2026 – Version 1.1
Résumé de la politique de confidentialité
KYOVALT est une plateforme SaaS éditée par RESOCOM permettant notamment la gestion, la collecte, la remise, l’analyse et la traçabilité de documents. Selon les traitements concernés, RESOCOM peut agir soit en qualité de responsable de traitement pour ses propres besoins, notamment la gestion du site, des comptes, du support, de la facturation, de la sécurité et de la preuve, soit en qualité de sous-traitant pour le compte des organisations clientes lorsqu’elles utilisent la plateforme pour traiter leurs propres documents, données et dossiers.
Certaines fonctionnalités, notamment RITA, peuvent permettre une analyse documentaire assistée reposant sur des technologies d’intelligence artificielle générative fournies par un sous-traitant spécialisé en intelligence artificielle générative, hébergé dans l’Union européenne. Les données nécessaires à l’analyse sont traitées et stockées au sein de l’Union européenne, dans les conditions précisées par la présente politique.
Les données sont traitées uniquement pour les finalités décrites ci-dessous, notamment la fourniture du service, la sécurité, le support, la facturation, la traçabilité, la preuve et, lorsque les fonctionnalités sont activées par le client, l’analyse documentaire assistée. Les personnes concernées disposent de droits sur leurs données, qu’elles peuvent exercer auprès de RESOCOM à l’adresse rgpd@resocom.com lorsque RESOCOM agit en qualité de responsable de traitement, ou auprès de l’organisation cliente concernée lorsque RESOCOM agit en qualité de sous-traitant.
Article 1 – Identité du responsable de traitement
Les traitements de données à caractère personnel mis en œuvre dans le cadre du site internet et de la plateforme SaaS KYOVALT sont réalisés par RESOCOM, société par actions simplifiée immatriculée au Registre du commerce et des sociétés de Paris sous le numéro 424 930 055, dont le siège social est situé 15 rue Traversière, 75012 Paris, France.
RESOCOM agit en qualité de responsable de traitement pour les traitements de données à caractère personnel qu’elle détermine pour ses propres finalités, dans les conditions précisées par la présente politique de confidentialité.
Pour toute question relative à la présente politique ou pour exercer les droits reconnus par la réglementation applicable en matière de protection des données personnelles, RESOCOM peut être contactée à l’adresse suivante : juridique@resocom.com.
Les demandes peuvent également être adressées par courrier postal à l’adresse suivante :
RESOCOM
Service juridique
15 rue Traversière
75012 Paris
France
RESOCOM a désigné un Délégué à la Protection des Données (DPO) au sens de l'article 37 du Règlement (UE) 2016/679, en raison notamment de la nature des traitements qu'elle met en œuvre.
Le DPO peut être contacté à l'adresse électronique suivante : rgpd@resocom.com, ou par courrier postal à l'adresse du siège social indiquée ci-dessus, à l'attention du Délégué à la Protection des Données.
Article 2 – Champ d’application
La présente politique de confidentialité a pour objet d’informer les personnes concernées sur les conditions dans lesquelles RESOCOM met en œuvre des traitements de données à caractère personnel dans le cadre de l’exploitation du site internet et de la plateforme SaaS KYOVALT, ainsi que dans le cadre des relations précontractuelles, contractuelles, techniques, administratives et de support qui s’y rapportent.
Elle s’applique à l’ensemble des traitements de données à caractère personnel effectués à l’occasion, notamment, de l’accès au site, de la navigation sur celui-ci, de la gestion des demandes de contact ou de démonstration, de la création et de l’administration des comptes utilisateurs, de l’utilisation des fonctionnalités de la plateforme par les organisations clientes et leurs utilisateurs autorisés, de la collecte de documents auprès de tiers au moyen de liens sécurisés, de la remise ou de la mise à disposition de documents avec traçabilité, ainsi que de la gestion du support, de la facturation, de la sécurité et du bon fonctionnement du service.
La présente politique concerne toute personne physique dont les données à caractère personnel sont traitées dans ce cadre, et notamment les visiteurs du site, les prospects, les contacts professionnels, les représentants et utilisateurs habilités des organisations clientes, ainsi que toute personne dont les données sont susceptibles d’être contenues dans les documents, fichiers, échanges, analyses ou informations traités au moyen de la plateforme. Elle s’applique également aux tiers amenés à déposer, transmettre, recevoir, consulter ou signer des documents au moyen de la plateforme, y compris lorsqu’ils ne disposent pas d’un compte utilisateur.
Lorsque des données à caractère personnel sont intégrées dans des documents, contenus ou échanges traités via la plateforme à l’initiative d’une organisation cliente, les conditions dans lesquelles ces données sont traitées dépendent de la finalité poursuivie et de la qualité dans laquelle intervient RESOCOM. À ce titre, RESOCOM peut agir, selon les cas, soit en qualité de responsable de traitement, soit en qualité de sous-traitant pour le compte de l’organisation cliente concernée. Les règles applicables à cette répartition des rôles sont précisées à l’article 3 de la présente politique.
Les traitements de données à caractère personnel relevant de services, sites, applications ou dispositifs exploités par des tiers et accessibles, le cas échéant, depuis la plateforme ou en lien avec celle-ci, ne sont pas régis par la présente politique, sauf mention expresse contraire.
Article 3 – Qualité des parties au regard du RGPD
Selon la nature des données à caractère personnel traitées, la finalité poursuivie et les conditions d’utilisation du site ou de la plateforme KYOVALT, RESOCOM intervient soit en qualité de responsable de traitement, soit en qualité de sous-traitant au sens du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »).
La qualification applicable est déterminée au cas par cas, en fonction de l’entité qui fixe les finalités du traitement et les moyens essentiels mis en œuvre.
3.1. RESOCOM agissant en qualité de responsable de traitement
RESOCOM agit en qualité de responsable de traitement pour les traitements de données à caractère personnel qu’elle met en œuvre pour ses finalités propres, et notamment aux fins :
- de gestion du site internet et des demandes de contact, de démonstration ou d’information ;
- de création, d’administration et de sécurisation des comptes utilisateurs ;
- de gestion des organisations clientes, des habilitations, de l’authentification et des accès à la plateforme ;
- de gestion de la relation contractuelle, administrative, comptable et financière avec ses clients ;
- de gestion du support, du traitement des incidents, de la maintenance, de la supervision technique et de l’amélioration du service ;
- d’assurance de la sécurité, de la disponibilité, de l’intégrité et de la confidentialité de la plateforme, incluant la journalisation, la détection d’anomalies, la prévention des usages abusifs et la défense de ses droits ;
plus généralement, du respect de ses obligations légales, réglementaires et probatoires.
Dans ce cadre, RESOCOM détermine seule les finalités du traitement et les moyens essentiels associés.
3.2. RESOCOM agissant en qualité de sous-traitant du client
Lorsque la plateforme KYOVALT est utilisée par une organisation cliente pour collecter des documents auprès de tiers, remettre ou mettre à disposition des documents avec traçabilité, centraliser des fichiers, exploiter des fonctionnalités d’analyse documentaire assistée, de vérification associée ou de traitement d’informations à la demande du client, les données à caractère personnel éventuellement contenues dans les documents, fichiers, échanges, résultats ou métadonnées associés sont traitées pour le compte de ce client.
Dans ce cadre :
- l’organisation cliente agit en qualité de responsable de traitement ;
RESOCOM agit en qualité de sous-traitant, au sens de l’article 4, point 8, du RGPD.
Le client détermine, sous sa seule responsabilité, les finalités du traitement poursuivi au moyen de la plateforme, les catégories de données traitées, les personnes concernées, la base légale applicable, les destinataires autorisés, ainsi que la durée de conservation qu’il entend mettre en œuvre dans le cadre de son propre traitement.
RESOCOM n’agit alors que sur instruction documentée du client, dans la limite des fonctionnalités fournies par la plateforme, des stipulations contractuelles applicables et des obligations légales qui lui incombent en sa qualité de sous-traitant.
3.3. Obligations du client en qualité de responsable de traitement
Lorsqu’il agit en qualité de responsable de traitement, le client s’engage à respecter l’ensemble de ses obligations au titre de la réglementation applicable en matière de protection des données à caractère personnel.
Il lui appartient notamment :
- de s’assurer de la licéité des traitements réalisés au moyen de la plateforme ;
- de disposer d’une base juridique valable pour chaque traitement mis en œuvre ;
- d’informer les personnes concernées conformément aux articles 13 et 14 du RGPD ;
- de définir les durées de conservation applicables ;
- d’encadrer les personnes autorisées à accéder aux données ;
- de traiter les demandes d’exercice de droits qui lui sont adressées ;
de vérifier que les données collectées, remises, analysées ou transmises au moyen de la plateforme sont pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités poursuivies.
3.4. Traitements réalisés par RESOCOM pour ses finalités propres
Nonobstant les traitements réalisés pour le compte du client, certaines opérations peuvent être mises en œuvre par RESOCOM pour ses finalités propres, notamment lorsqu’elles sont strictement nécessaires :
- à la sécurisation de la plateforme et des comptes ;
- à la journalisation des accès, actions et événements techniques ;
- à la prévention et à la détection d’incidents, de fraudes, d’usages détournés ou d’atteintes à l’intégrité du service ;
- à la conservation d’éléments nécessaires à l’établissement de la preuve, à la gestion des réclamations ou à la défense de ses droits ;
au respect de ses obligations légales et réglementaires.
Pour ces traitements distincts, RESOCOM agit en qualité de responsable de traitement autonome, dans la stricte mesure nécessaire aux finalités précitées.
3.5. Exercice des droits des personnes concernées
Lorsque RESOCOM agit en qualité de responsable de traitement, les personnes concernées peuvent exercer leurs droits directement auprès d’elle, dans les conditions prévues par la présente politique.
Lorsque RESOCOM agit en qualité de sous-traitant pour le compte d’une organisation cliente, les demandes relatives aux données traitées pour le compte de ce client doivent, en principe, être adressées en priorité audit client, seul compétent pour statuer sur la demande en sa qualité de responsable de traitement. RESOCOM apporte au client, dans la mesure requise par la réglementation applicable et par les stipulations contractuelles en vigueur, l’assistance raisonnablement nécessaire au traitement de ces demandes.
Article 4 – Catégories de personnes concernées
La présente politique s’applique aux traitements de données à caractère personnel concernant toute personne physique dont les données sont collectées, consultées, enregistrées, conservées, transmises, mises à disposition, analysées ou autrement traitées dans le cadre de l’exploitation du site internet et de la plateforme KYOVALT.
Sont notamment concernées, selon les cas, les catégories de personnes suivantes :
4.1. Visiteurs du site et contacts professionnels
Il s’agit des personnes physiques qui consultent le site internet, sollicitent des informations sur les services proposés, adressent une demande de contact ou de démonstration, ou échangent avec RESOCOM dans le cadre d’une prise de contact, d’une relation précontractuelle ou d’une démarche commerciale.
4.2. Représentants, administrateurs et utilisateurs habilités des organisations clientes
Il s’agit des personnes physiques agissant pour le compte d’une organisation cliente ou d’un client potentiel, notamment les représentants légaux, interlocuteurs commerciaux, administratifs ou techniques, administrateurs de compte, gestionnaires et utilisateurs autorisés à accéder à la plateforme et à utiliser ses fonctionnalités.
4.3. Tiers déposant, transmettant, recevant ou consultant des documents au moyen de la plateforme
Il s’agit des personnes physiques susceptibles d’interagir avec la plateforme sans nécessairement disposer d’un compte utilisateur, notamment lorsqu’elles déposent des documents via un lien sécurisé, reçoivent des documents, accèdent à un dossier, consultent des contenus mis à disposition ou accusent réception d’un envoi dans le cadre des services de collecte ou de remise proposés par la plateforme.
4.4. Personnes concernées par les documents, contenus et informations traitées via la plateforme
Il s’agit de toute personne physique dont les données à caractère personnel figurent dans les documents, fichiers, contenus, échanges, résultats d’analyse, vérifications associées, métadonnées ou informations traités via la plateforme à l’initiative d’une organisation cliente, quel que soit son lien avec cette dernière.
4.5. Interlocuteurs support, facturation et suivi contractuel
Il s’agit des personnes physiques amenées à échanger avec RESOCOM dans le cadre du support, du traitement des incidents, du suivi administratif, de la gestion contractuelle, de la facturation, du recouvrement ou de toute opération liée à l’exécution et au suivi de la relation commerciale.
4.6. Source des données traitées de manière indirecte
Conformément à l'article 14 §2 f) du Règlement (UE) 2016/679, il est précisé que lorsque des données à caractère personnel concernant des personnes tierces sont intégrées dans la plateforme sans collecte directe auprès de ces personnes, ces données proviennent, selon les cas :
- des documents, fichiers ou pièces justificatives transmis ou déposés par une organisation cliente ou par des tiers autorisés interagissant avec la plateforme, notamment via un lien sécurisé ;
- de documents ou informations produits ou communiqués dans le cadre de la relation préexistante entre l'organisation cliente et les personnes concernées, antérieurement à leur intégration dans la plateforme ;
- le cas échéant, de sources accessibles au public, lorsque des fonctionnalités de vérification fondées sur des sources ouvertes sont activées par le client.
Lorsque RESOCOM agit en qualité de sous-traitant pour le compte d'une organisation cliente, il appartient à cette dernière, en sa qualité de responsable de traitement, d'informer les personnes concernées conformément à l'article 14 du RGPD, notamment sur la source dont proviennent leurs données et sur les conditions dans lesquelles elles sont traitées au moyen de la plateforme.
Article 5 – Catégories de données à caractère personnel traitées
Dans le cadre de l’exploitation du site internet et de la plateforme KYOVALT, RESOCOM est susceptible de traiter, selon les cas et dans la limite de ce qui est nécessaire aux finalités poursuivies, les catégories de données à caractère personnel suivantes.
5.1. Données d’identification et données professionnelles
Peuvent notamment être traitées les données d’identification et les informations professionnelles relatives aux personnes concernées, telles que les nom, prénom, adresse électronique professionnelle, numéro de téléphone professionnel, fonction, entreprise ou organisation de rattachement, ainsi que toute information communiquée dans le cadre d’une demande de contact, de démonstration, de souscription ou d’échanges précontractuels ou contractuels.
5.2. Données relatives aux comptes utilisateurs et à l’authentification
Dans le cadre de la création, de l’administration et de l’utilisation des comptes utilisateurs, peuvent être traités les identifiants de connexion, mots de passe chiffrés, rôles et habilitations attribués au sein de l’organisation cliente, paramètres de compte, historique de connexion, données relatives à l’authentification, ainsi que tout élément nécessaire à la gestion des accès et à la sécurisation de la plateforme.
5.3. Données administratives, contractuelles et de facturation
Pour les besoins de la gestion de la relation commerciale et contractuelle, peuvent être traitées les données relatives à l’organisation cliente, à ses représentants et à ses interlocuteurs habilités, notamment les coordonnées administratives, les informations de facturation, les références contractuelles, les abonnements souscrits, les crédits consommés, l’historique de commande, les factures émises, ainsi que les informations relatives au paiement et au suivi comptable. Les données bancaires de paiement sont, le cas échéant, traitées par le prestataire de paiement compétent, selon sa propre politique de confidentialité.
5.4. Données techniques, données de connexion et données de sécurité
Dans le cadre de l’accès au site et à la plateforme, ainsi que pour les besoins de leur bon fonctionnement et de leur sécurisation, peuvent être traitées des données techniques telles que l’adresse IP, les journaux de connexion, les identifiants techniques, les dates et heures d’accès, les données relatives au terminal, au navigateur ou à l’environnement technique utilisé, ainsi que les événements techniques, traces d’activité, données de journalisation et éléments nécessaires à la détection d’anomalies, à la prévention des usages abusifs, à la gestion des incidents et à la défense des droits de RESOCOM.
5.5. Données contenues dans les documents, fichiers, échanges et dossiers traités via la plateforme
Dans le cadre de l’utilisation des services proposés par KYOVALT, peuvent être traitées les données à caractère personnel contenues dans les documents, fichiers, pièces justificatives, contenus, messages, échanges, dossiers, accusés de réception, remises documentaires, dépôts effectués par des tiers, ainsi que dans les métadonnées associées à ces éléments. La nature des données concernées dépend des informations intégrées dans la plateforme par le client ou par les tiers autorisés à interagir avec celle-ci.
5.6. Données relatives aux analyses documentaires et vérifications associées
Lorsque les fonctionnalités correspondantes sont utilisées, peuvent également être traitées les données contenues dans les résultats, rapports, restitutions, indicateurs, extractions, vérifications documentaires ou vérifications associées, y compris lorsqu’ils sont générés au moyen de fonctionnalités d’analyse assistée ou de services complémentaires disponibles sur la plateforme.
5.7. Données relatives au support, aux réclamations et aux échanges avec RESOCOM
Lorsque des échanges interviennent avec RESOCOM, notamment dans le cadre du support, d’une demande d’assistance, d’un incident, d’une réclamation, d’un échange commercial, administratif ou juridique, peuvent être traitées les données contenues dans les courriels, tickets, pièces jointes, comptes rendus, historiques d’échanges et informations nécessaires au traitement de la demande et à la traçabilité des interventions.
5.8. Principe de minimisation
Les données à caractère personnel traitées par RESOCOM sont limitées à celles qui sont adéquates, pertinentes et strictement nécessaires au regard des finalités poursuivies, conformément à la réglementation applicable.
5.9. Données susceptibles de relever des catégories particulières visées à l'article 9 du RGPD
Selon la nature des documents, fichiers, pièces justificatives ou informations intégrés dans la plateforme par une organisation cliente ou par des tiers autorisés, les données traitées via la plateforme peuvent, dans certains cas, inclure des données à caractère personnel relevant de catégories particulières au sens de l'article 9 §1 du Règlement (UE) 2016/679, telles que des données relatives à la santé, à l'origine ethnique ou raciale, aux opinions politiques, aux convictions religieuses ou philosophiques, à l'appartenance syndicale, aux données génétiques ou biométriques, ou à des condamnations pénales et infractions au sens de l'article 10 du RGPD.
Lorsque de tels traitements sont réalisés à l'initiative d'une organisation cliente dans le cadre de ses propres finalités, RESOCOM intervient en qualité de sous-traitant pour le compte dudit client. Il appartient alors au client, en sa qualité de responsable de traitement, de s'assurer de la licéité du traitement de ces catégories de données, de disposer d'une base légale spécifique au sens de l'article 9 §2 du RGPD, et d'informer les personnes concernées dans les conditions prévues par la réglementation applicable.
RESOCOM n'initie, pour ses propres finalités, aucun traitement portant sur des données relevant des catégories particulières visées à l'article 9 §1 du RGPD, sauf obligation légale ou réglementaire applicable.
Article 6 – Caractère obligatoire ou facultatif des données
Les données à caractère personnel dont la collecte est requise dans le cadre de l’accès au site, de la création d’un compte, de la souscription aux services, de l’utilisation de la plateforme, de la gestion de la relation contractuelle, de la facturation, du support ou de la sécurité du service sont signalées comme obligatoires lorsqu’elles conditionnent la fourniture du service concerné ou le respect d’une obligation légale ou contractuelle.
À ce titre, présentent notamment un caractère obligatoire, selon les cas, les données nécessaires :
- à l’identification de l’organisation cliente et de ses interlocuteurs habilités ;
- à la création et à l’administration des comptes utilisateurs ;
- à l’authentification et à la sécurisation des accès ;
- à l’exécution des services de collecte, de remise, d’analyse ou de vérification proposés via la plateforme ;
- à la gestion administrative, contractuelle et financière de la relation avec le client ;
- au traitement des demandes adressées au support ;
au respect des obligations légales, réglementaires, comptables ou probatoires incombant à RESOCOM.
Le défaut de fourniture de ces données est susceptible d’empêcher la création du compte, l’accès à certaines fonctionnalités, l’exécution du service demandé, le traitement d’une demande d’assistance, la conclusion ou l’exécution du contrat, ou encore le respect par RESOCOM de ses obligations légales et réglementaires.
Les autres données dont la communication n’est pas strictement nécessaire à la fourniture du service ou à la gestion de la relation contractuelle présentent un caractère facultatif. Leur absence n’empêche pas, en principe, l’accès aux fonctionnalités essentielles de la plateforme, sous réserve des limitations pouvant résulter de cette absence au regard de la demande concernée.
Lorsque des données à caractère personnel sont intégrées dans la plateforme à l’initiative d’une organisation cliente dans le cadre d’un traitement pour lequel RESOCOM agit en qualité de sous-traitant, il appartient audit client de s’assurer que les données qu’il collecte, transmet ou met à disposition au moyen de la plateforme sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies.
Article 7 – Finalités des traitements et bases juridiques
Les données à caractère personnel sont traitées par RESOCOM pour des finalités déterminées, explicites et légitimes, sur le fondement des bases juridiques prévues par la réglementation applicable en matière de protection des données à caractère personnel. Dans le cadre de KYOVALT, ces traitements couvrent notamment la gestion du site, des demandes de démonstration, des comptes utilisateurs, des services de collecte et de remise documentaire, des analyses assistées, du support, de la facturation et de la sécurité de la plateforme.
7.1. Traitements mis en œuvre par RESOCOM en qualité de responsable de traitement
| Finalité du traitement | Description du traitement | Base juridique |
|---|---|---|
| Gestion du site internet, des demandes de contact, de démonstration et des échanges précontractuels | Réception et traitement des demandes adressées à RESOCOM, gestion des prises de contact, présentation des services, organisation des démonstrations et suivi des échanges précontractuels | Intérêt légitime de RESOCOM à promouvoir et développer ses services auprès d’une clientèle professionnelle ; le cas échéant, exécution de mesures précontractuelles prises à la demande de la personne concernée |
| Création, gestion et administration des comptes utilisateurs et des organisations clientes | Création des comptes, gestion des organisations, attribution des rôles, administration des habilitations et accès aux fonctionnalités de la plateforme | Exécution du contrat lorsque la personne concernée est directement partie au contrat ou intervient dans le cadre de mesures précontractuelles la concernant ; intérêt légitime de RESOCOM et de l’organisation cliente à permettre l’accès, l’administration, la sécurité et le suivi du service lorsque la personne concernée agit en qualité de représentant, administrateur, collaborateur, prestataire ou utilisateur habilité d’une organisation cliente. |
| Authentification, contrôle des accès et sécurisation de la plateforme | Gestion des connexions, protection des comptes, journalisation, détection d’anomalies, prévention des usages abusifs ou frauduleux, maintien de l’intégrité, de la disponibilité et de la confidentialité du service | Intérêt légitime de RESOCOM à assurer la sécurité de la plateforme et des données traitées |
| Gestion de la relation contractuelle, administrative, comptable et financière | Souscription, gestion des abonnements, des crédits et options, facturation, suivi des paiements, recouvrement, comptabilité et gestion administrative de la relation client | Exécution du contrat ; obligation légale ; intérêt légitime de RESOCOM à assurer le suivi de la relation commerciale et la défense de ses droits |
| Gestion du support, de l’assistance et des incidents | Traitement des demandes d’assistance, gestion des tickets, suivi des incidents, traçabilité des interventions, communication avec les interlocuteurs concernés | Exécution du contrat lorsque la demande est liée à l’exécution du service ; intérêt légitime de RESOCOM à assurer le support, la continuité, la sécurité, la traçabilité et la qualité du service. |
| Supervision technique, maintenance et amélioration du service | Maintenance corrective et évolutive, suivi des performances, identification des dysfonctionnements, amélioration des fonctionnalités, élaboration de statistiques internes lorsque cela est approprié | Intérêt légitime de RESOCOM à assurer la fiabilité, la performance et l’évolution de ses services |
| Respect des obligations légales, réglementaires et probatoires | Conservation des éléments nécessaires au respect des obligations légales, comptables, fiscales, à la gestion des réclamations, précontentieux et contentieux, ainsi qu’à la défense des droits de RESOCOM | Obligation légale ; intérêt légitime de RESOCOM à faire valoir et défendre ses droits |
| Gestion des cookies et traceurs non strictement nécessaires | Dépôt et lecture de traceurs soumis à consentement, dans les conditions prévues par la politique cookies applicable | Consentement, lorsqu’il est requis |
7.2. Traitements réalisés via la plateforme pour le compte du client
Lorsque la plateforme KYOVALT est utilisée par une organisation cliente pour collecter des documents auprès de tiers, remettre ou mettre à disposition des documents, centraliser des fichiers, solliciter des analyses documentaires assistées, réaliser des vérifications associées ou traiter des informations au moyen des fonctionnalités proposées par la plateforme, les données à caractère personnel contenues dans les documents, échanges, résultats, métadonnées ou dossiers associés sont, en principe, traitées pour le compte de cette organisation cliente.
Dans ce cadre, la détermination de la finalité poursuivie, de la base juridique applicable, des catégories de données concernées, des destinataires autorisés et des durées de conservation relève de la seule responsabilité du client agissant en qualité de responsable de traitement.
RESOCOM n’intervient alors qu’en qualité de sous-traitant, sur instruction documentée du client, dans les conditions prévues par la réglementation applicable et les stipulations contractuelles en vigueur.
7.3. Absence de détournement de finalité
Les données à caractère personnel ne sont pas traitées ultérieurement d’une manière incompatible avec les finalités pour lesquelles elles ont été collectées ou autrement obtenues, sous réserve des traitements nécessaires au respect d’une obligation légale, à la constatation, l’exercice ou la défense de droits en justice, ou à la satisfaction d’exigences réglementaires applicables.
Article 8 – Traitements liés aux services de collecte et de remise de documents
La plateforme KYOVALT permet à une organisation cliente, dans le cadre de son activité professionnelle, de collecter des documents auprès de tiers au moyen de liens sécurisés, ainsi que de remettre ou mettre à disposition des documents à des tiers avec traçabilité, suivi des interactions et, le cas échéant, accusé de réception.
Dans ce cadre, des données à caractère personnel peuvent être traitées afin de permettre l’émission, la transmission, la réception, le dépôt, la consultation, le téléchargement, la remise, la centralisation, l’horodatage et le suivi de documents, fichiers, pièces justificatives, contenus et informations associées à un dossier ou à un échange documentaire. Peuvent également être traitées les données nécessaires à l’identification des parties concernées, à la gestion des accès, à la sécurisation des liens transmis, à la journalisation des opérations réalisées et à l’établissement de la preuve des actions intervenues sur la plateforme.
Lorsque ces traitements sont mis en œuvre à l’initiative d’une organisation cliente pour ses propres besoins, notamment afin de solliciter des documents auprès de tiers, d’en assurer la réception, de transmettre des documents ou d’en organiser la consultation, cette organisation agit en qualité de responsable de traitement. RESOCOM intervient alors en qualité de sous-traitant, dans les conditions prévues à l’article 3 de la présente politique. Il appartient au client de déterminer la finalité poursuivie, la base juridique applicable, les catégories de données concernées, les destinataires autorisés et la durée de conservation pertinente au regard du traitement qu’il met en œuvre.
Les traitements réalisés dans ce cadre peuvent notamment porter sur :
- les données d’identification et de contact des expéditeurs, destinataires, déposants, signataires, représentants ou autres personnes autorisées à intervenir dans l’échange documentaire ;
- les documents, fichiers, pièces justificatives et contenus transmis, remis, déposés ou consultés via la plateforme ;
- les métadonnées associées aux opérations effectuées, telles que les dates et heures d’envoi, de dépôt, de consultation, de téléchargement, de remise, d’acceptation ou d’accusé de réception ;
les données techniques et de sécurité nécessaires au fonctionnement du service, notamment les adresses IP, identifiants techniques, journaux d’événements, informations relatives au navigateur ou à l’environnement de connexion, ainsi que les éléments utiles à la prévention des accès non autorisés, des usages abusifs ou des incidents de sécurité.
Les données traitées dans le cadre des services de collecte et de remise sont limitées à celles qui sont strictement nécessaires à l’exécution du service, à la sécurisation des échanges documentaires, à la traçabilité des opérations, au traitement des incidents, au respect des obligations légales et, le cas échéant, à la conservation des éléments nécessaires à l’établissement de la preuve ou à la défense des droits de RESOCOM ou du client concerné.
Lorsque des tiers interagissent avec la plateforme sans disposer d’un compte utilisateur, notamment pour déposer, transmettre, consulter ou recevoir des documents au moyen d’un lien sécurisé, leurs données à caractère personnel peuvent également être traitées dans les mêmes limites, pour les seuls besoins du fonctionnement du service, de la sécurité des échanges, de la traçabilité des opérations et du respect des exigences légales ou contractuelles applicables.
Article 9 – Analyses documentaires assistées et vérifications associées
Dans le cadre des fonctionnalités proposées par la plateforme KYOVALT, des traitements de données à caractère personnel peuvent être mis en œuvre aux fins de réalisation d’analyses documentaires assistées, d’extraction d’informations, de structuration de données, de synthèse, de comparaison documentaire, de génération d’indicateurs, de restitution de résultats et, le cas échéant, de vérifications associées.
La plateforme KYOVALT propose notamment une fonctionnalité dénommée RITA, destinée à assister l’utilisateur dans l’exploitation, la lecture, l’analyse et la vérification de documents ou d’informations traités via la plateforme. RITA peut permettre, selon les fonctionnalités activées par le client, d’identifier certaines informations contenues dans un document, d’en extraire des éléments structurés, d’en produire une synthèse, de rapprocher plusieurs informations entre elles, de signaler des incohérences apparentes ou de générer des restitutions destinées à faciliter l’analyse humaine du dossier.
Pour la mise en œuvre de certaines opérations d’analyse documentaire assistée, RITA repose sur des technologies de traitement automatisé du langage naturel et d’intelligence artificielle générative fournies par un sous-traitant spécialisé, hébergé dans l’Union européenne.
Dans ce cadre, les données nécessaires à l’exécution de l’analyse demandée sont traitées par ce sous-traitant, intervenant en qualité de sous-traitant ultérieur de RESOCOM lorsque RESOCOM agit elle-même en qualité de sous-traitant pour le compte de l’organisation cliente.
Les données susceptibles d’être traitées dans ce cadre comprennent, selon le contenu des documents ou informations soumis à l’analyse, les documents déposés ou transmis via la plateforme, les textes extraits de ces documents, les métadonnées techniques associées, les instructions, requêtes ou paramètres d’analyse définis par l’utilisateur, ainsi que les résultats, synthèses, extractions, indicateurs ou restitutions générés par la fonctionnalité.
Les données transmises à RITA sont traitées aux seules fins de fournir la fonctionnalité d’analyse documentaire assistée demandée par le client ou par l’utilisateur habilité, d’assurer le fonctionnement technique du service, sa sécurité, sa maintenance, la prévention des abus, ainsi que la détection et le traitement d’éventuels incidents.
Dans le cadre de RITA, ce sous-traitant traite les données concernées pour le compte de RESOCOM conformément à un accord de protection des données (Data Processing Addendum). Cet accord prévoit notamment que le sous-traitant agit en qualité de sous-traitant, traite les données sur instruction du client, impose des obligations de confidentialité aux personnes autorisées à traiter les données, met en œuvre des mesures techniques et organisationnelles de sécurité, et encadre le recours à ses propres sous-traitants ultérieurs.
Les modèles sont sans état : aucune requête ni réponse n’est conservée dans le modèle, et les requêtes et réponses ne sont pas utilisées pour entraîner ou améliorer les modèles. Dans le cadre du dispositif de détection des abus, un échantillon de requêtes et de réponses peut être conservé pendant une durée maximale de trente jours dans un espace de stockage isolé situé dans l’Union européenne, accessible uniquement au personnel autorisé du sous-traitant, situé dans l’Espace économique européen. Ces données ne sont pas partagées avec l’éditeur du modèle d’intelligence artificielle.
Compte tenu du déploiement en région France Central, les requêtes et les réponses sont traitées et stockées au sein de l’Union européenne. Les conditions applicables aux éventuels transferts sont précisées à l’article 13 de la présente politique.
Ces traitements interviennent exclusivement dans le cadre des fonctionnalités souscrites ou activées par l’organisation cliente et portent sur les documents, informations, contenus, métadonnées ou éléments transmis, déposés, remis ou exploités au moyen de la plateforme, dans la limite de ce qui est nécessaire à la fourniture du service concerné.
Lorsque de tels traitements sont réalisés à l’initiative d’une organisation cliente dans le cadre de ses propres finalités, notamment pour l’analyse de documents, l’exploitation de résultats, la réalisation de vérifications associées ou l’utilisation de restitutions produites par la plateforme, RESOCOM intervient, sauf indication contraire expresse, en qualité de sous-traitant pour le compte du client, dans les conditions prévues à l’article 3 de la présente politique.
Il appartient alors audit client, en sa qualité de responsable de traitement, de déterminer la finalité poursuivie, la base juridique applicable, les catégories de données concernées, les personnes habilitées à accéder aux documents et résultats, les durées de conservation applicables et, plus généralement, les conditions de licéité du traitement mis en œuvre au moyen de la plateforme.
Les résultats issus de RITA et des fonctionnalités d’analyse documentaire assistée ont pour objet de faciliter l’exploitation, la lecture, l’analyse, la vérification ou la restitution de certains documents ou informations. Ils sont fournis comme des éléments d’assistance à l’analyse et à la décision, dans le périmètre fonctionnel de la plateforme. Ils ne constituent pas une expertise juridique, financière, comptable, réglementaire, technique ou métier, et ne sauraient se substituer à une appréciation humaine, à une validation professionnelle, à une expertise indépendante, ni à une obligation de contrôle qui incomberait au client au regard de son activité ou de la réglementation applicable.
Le client demeure seul responsable de l’usage qu’il fait des résultats, rapports, indicateurs, extractions, synthèses ou restitutions générés au moyen de la plateforme. Il lui appartient notamment de procéder à toute vérification utile avant toute utilisation opérationnelle, contractuelle, juridique, financière, réglementaire ou décisionnelle des résultats produits. Cette logique est cohérente avec les CGV/CGU de KYOVALT, qui prévoient expressément que les analyses générées nécessitent une validation humaine pour tout usage décisionnel critique.
Les fonctionnalités d’analyse documentaire assistée proposées par KYOVALT ne sont pas destinées, sauf accord écrit spécifique de RESOCOM, à être utilisées par le client comme composant unique ou déterminant d’un processus de décision produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative. Il appartient au client de s’assurer que l’usage qu’il fait des résultats générés est conforme à la réglementation applicable à son activité, notamment lorsque ces résultats sont utilisés dans des domaines réglementés ou susceptibles d’affecter les droits, intérêts ou situation d’une personne physique.
Les données traitées dans ce cadre sont limitées à celles qui sont strictement nécessaires à l’exécution de la fonctionnalité concernée, à la production des résultats associés, à la traçabilité technique de l’opération, à la sécurisation du service et, le cas échéant, à la conservation d’éléments nécessaires à l’établissement de la preuve, à la gestion des incidents ou à la défense des droits de RESOCOM.
Les garanties relatives aux destinataires, sous-traitants ultérieurs, transferts éventuels hors de l’Union européenne, durées de conservation et mesures de sécurité applicables à ces traitements sont précisées aux articles correspondants de la présente politique.
Article 10 – Absence de décision entièrement automatisée
Les traitements mis en œuvre dans le cadre de la plateforme KYOVALT, y compris lorsqu’ils reposent sur des fonctionnalités d’analyse documentaire assistée, de restitution automatisée, de génération d’indicateurs ou de vérifications associées, n’ont pas pour objet de prendre, à eux seuls, une décision produisant des effets juridiques à l’égard d’une personne concernée ou l’affectant de manière significative au sens de l’article 22 du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »).
Les résultats, rapports, analyses, scores, indicateurs ou restitutions éventuellement générées au moyen de la plateforme constituent des outils d’assistance à l’analyse, à la vérification, à l’exploitation ou à la lecture de documents et d’informations. Ils sont fournis à titre d’aide à l’appréciation et ne sauraient se substituer, par eux-mêmes, à une validation, à une interprétation ou à une décision humaine. Cette approche est conforme aux CGV/CGU de KYOVALT, qui prévoient expressément que les analyses générées nécessitent une validation humaine pour tout usage décisionnel critique.
Lorsqu’une organisation cliente utilise la plateforme dans le cadre de ses propres processus internes, il lui appartient, en sa qualité de responsable de traitement, de s’assurer que les décisions qu’elle prend sur la base des éléments fournis par la plateforme reposent sur une appréciation humaine appropriée, conforme à la réglementation applicable à son activité et au traitement concerné.
RESOCOM ne procède pas, dans le cadre des traitements décrits par la présente politique, à une prise de décision entièrement automatisée produisant par elle-même des effets juridiques à l’égard des personnes concernées ou les affectant de manière significative, sauf information spécifique contraire portée à la connaissance des personnes concernées dans les conditions prévues par la réglementation applicable.
Article 11 – Destinataires des données à caractère personnel
Les données à caractère personnel traitées dans le cadre du site internet et de la plateforme KYOVALT ne sont accessibles qu’aux seules personnes physiques ou morales dont l’intervention est strictement nécessaire à la réalisation des finalités décrites par la présente politique, dans le respect du principe de minimisation et du strict besoin d’en connaître.
Peuvent, selon les cas, être destinataires des données à caractère personnel :
11.1. Les personnels habilités de RESOCOM
Les données peuvent être accessibles aux membres du personnel de RESOCOM dûment habilités, lorsque cet accès est nécessaire à l’exercice de leurs fonctions, notamment pour la gestion commerciale, administrative, contractuelle, comptable, financière, technique, juridique, le support, la maintenance, la sécurité, la supervision de la plateforme, la gestion des incidents et la défense des droits de RESOCOM. Ces personnes sont soumises à des obligations appropriées de confidentialité.
11.2. Les organisations clientes et leurs utilisateurs autorisés
Lorsque la plateforme est utilisée par une organisation cliente, les données peuvent être rendues accessibles aux représentants, administrateurs, gestionnaires, membres ou autres utilisateurs habilités de cette organisation, dans la limite des droits d’accès qui leur sont attribués et des finalités poursuivies par le client dans le cadre de son propre traitement.
11.3. Les tiers autorisés à intervenir dans un échange documentaire
Dans le cadre des services de collecte, de remise ou de mise à disposition de documents, les données peuvent être communiquées ou rendues accessibles aux tiers autorisés à déposer, transmettre, recevoir, consulter ou signer des documents au moyen de la plateforme, lorsque cette communication ou cette mise à disposition est nécessaire à l’exécution du service demandé par l’organisation cliente.
11.4. Les prestataires techniques et sous-traitants de RESOCOM
Les données peuvent être transmises aux prestataires techniques intervenant pour le compte de RESOCOM et strictement nécessaires au fonctionnement, à l’hébergement, à la maintenance, à la supervision, à la sécurité, au support, à l’envoi de communications techniques ou transactionnelles, à la fourniture de certaines fonctionnalités complémentaires, ainsi qu’au traitement des paiements. Ces prestataires interviennent en qualité de sous-traitants ou, le cas échéant, de responsables de traitement distincts selon la nature de leur intervention et le cadre juridique applicable.
11.5. Les prestataires intervenant en qualité de responsables de traitement distincts
Certains prestataires peuvent traiter des données à caractère personnel pour leurs propres finalités, en qualité de responsables de traitement distincts. Il en est notamment ainsi, selon les cas, des prestataires de services de paiement, pour les opérations liées au règlement des abonnements, crédits ou services complémentaires, ainsi que de tout prestataire soumis à des obligations légales ou réglementaires propres. Les traitements mis en œuvre par ces prestataires relèvent alors de leur propre politique de confidentialité.
11.6. Les autorités compétentes et personnes légalement habilitées
Les données à caractère personnel peuvent enfin être communiquées à toute autorité administrative, judiciaire, de contrôle ou de régulation, ou à toute personne légalement habilitée à en connaître, lorsque cette communication est requise par la loi, la réglementation, une décision de justice, une demande émanant d’une autorité compétente ou la nécessité de constater, exercer ou défendre un droit en justice.
Lorsque RESOCOM agit en qualité de sous-traitant pour le compte d’une organisation cliente, les destinataires des données et les conditions de leur communication sont déterminés en premier lieu par le client responsable de traitement, sous réserve des accès strictement nécessaires de RESOCOM et de ses sous-traitants pour assurer l’exécution du service, la sécurité de la plateforme, la maintenance, le support, la traçabilité, le respect des obligations légales applicables et la défense de leurs droits respectifs.
Article 12 – Sous-traitants ultérieurs et prestataires
Pour les besoins de l’exploitation du site internet et de la plateforme KYOVALT, de la fourniture des services, de la maintenance, de l’hébergement, du support, de la sécurité, de l’envoi de communications techniques ou transactionnelles, du traitement des paiements, ainsi que, le cas échéant, de la mise en œuvre de certaines fonctionnalités complémentaires, RESOCOM est susceptible de recourir à des prestataires tiers agissant, selon les cas, en qualité de sous-traitants ultérieurs ou de prestataires indépendants.
Lorsque ces prestataires interviennent pour le compte de RESOCOM dans le cadre d’un traitement de données à caractère personnel relevant de sa responsabilité, ils sont sélectionnés au regard de garanties suffisantes en matière de compétence, de fiabilité, de sécurité, de confidentialité et de conformité à la réglementation applicable en matière de protection des données à caractère personnel. Ils ne peuvent traiter les données que sur instruction documentée de RESOCOM, dans la limite de ce qui est nécessaire à l’exécution des services qui leur sont confiés et dans le respect des obligations contractuelles qui leur sont applicables.
Lorsqu’un prestataire intervient en qualité de sous-traitant au sens de l’article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »), RESOCOM veille à ce qu’un acte juridique approprié encadre cette intervention, en imposant notamment au prestataire :
- de ne traiter les données à caractère personnel que sur instruction documentée ;
- de garantir la confidentialité des personnes autorisées à traiter les données ;
- de mettre en œuvre des mesures techniques et organisationnelles appropriées ;
- de n’autoriser aucun sous-traitant ultérieur sans encadrement contractuel adéquat ;
- d’assister, dans la mesure requise, RESOCOM pour satisfaire à ses obligations réglementaires ;
de restituer ou supprimer les données à l’issue de la prestation, sous réserve des obligations légales de conservation applicables.
Les prestataires susceptibles d’intervenir dans ce cadre relèvent notamment des catégories suivantes : hébergement et infrastructure, supervision technique, maintenance, sécurité, communications électroniques et courriels transactionnels, outils de support, paiement, ainsi que, le cas échéant, fonctionnalités d’analyse ou de traitement complémentaires activées dans le cadre du service. Les CGV/CGU de KYOVALT mentionnent notamment le recours à des prestataires d’hébergement ou d’infrastructure situés dans l’Union européenne, à des prestataires de paiement, ainsi qu’à des prestataires intervenant pour certaines fonctionnalités d’analyse.
Lorsque RESOCOM agit elle-même en qualité de sous-traitant pour le compte d’une organisation cliente, elle peut recourir, sous sa responsabilité, à des sous-traitants ultérieurs pour l’exécution de tout ou partie des services confiés, dans le respect de la réglementation applicable, des engagements contractuels souscrits à l’égard du client et d’un niveau de protection des données au moins équivalent à celui auquel RESOCOM est elle-même tenue.
À titre d'information, les catégories de sous-traitants et prestataires principaux auxquels RESOCOM recourt dans le cadre de la fourniture du service sont les suivantes :
| Catégorie de service | Prestataire | Pays d'établissement |
|---|---|---|
| Hébergement et infrastructure | Prestataire d’hébergement | France |
| Traitement des paiements | Prestataire de services de paiement | Union européenne / hors UE selon l’entité, transferts encadrés |
| Analyse documentaire assistée (RITA) | Sous-traitant d’IA générative | Union européenne (France) |
| Support et ticketing | RESOCOM | France |
| Supervision et monitoring | RESOCOM | France |
Cette liste est susceptible d'évoluer. La version à jour peut être obtenue sur demande adressée à juridique@resocom.com.
La liste des catégories de prestataires et, le cas échéant, l’identité des principaux sous-traitants ultérieurs intervenant dans le cadre du service peuvent être communiquées sur demande, sous réserve des nécessités de sécurité, de confidentialité et de protection du secret des affaires. Les CGV/CGU prévoient d’ailleurs qu’une liste actualisée des sous-traitants peut être obtenue à l’adresse dédiée de RESOCOM.
Le recours à des prestataires susceptibles d’impliquer un transfert de données hors de l’Union européenne est, le cas échéant, encadré dans les conditions prévues à l’article 13 de la présente politique.
Article 13 – Transferts de données hors de l’Union européenne
Les données à caractère personnel traitées dans le cadre du site internet et de la plateforme KYOVALT ont vocation à être hébergées et traitées au sein de l’Union européenne. Les services de la plateforme reposent, en principe, sur des prestataires d’hébergement et d’infrastructure situés dans l’Union européenne.
Toutefois, certains prestataires techniques, sous-traitants ultérieurs ou services complémentaires utilisés dans le cadre de l’exploitation de la plateforme ou de certaines fonctionnalités peuvent impliquer un accès aux données à caractère personnel depuis un pays situé en dehors de l’Union européenne ou de l’Espace économique européen, ou un transfert de telles données vers un pays tiers, notamment les États-Unis.
Dans une telle hypothèse, RESOCOM veille à ce que ces transferts soient encadrés conformément aux articles 44 et suivants du Règlement (UE) 2016/679 du 27 avril 2016 et reposent sur un mécanisme de transfert reconnu par la réglementation applicable, tel qu’une décision d’adéquation de la Commission européenne, les clauses contractuelles types adoptées par la Commission européenne ou tout autre mécanisme approprié prévu par la réglementation applicable.
Pour les prestataires identifiés à l’article 12, les mécanismes applicables sont notamment les suivants :
Prestataire de services de paiement : certains traitements peuvent impliquer des transferts ou accès depuis des pays situés hors de l’Union européenne ou de l’Espace économique européen, notamment les États-Unis. Ces transferts sont encadrés par les engagements contractuels applicables, incluant, selon les cas, le Data Privacy Framework lorsque celui-ci est applicable, les clauses contractuelles types de la Commission européenne, l’addendum de transfert de données applicable ou tout autre mécanisme reconnu par la réglementation applicable.
Sous-traitant d’analyse documentaire assistée (RITA) : les données sont traitées et stockées au sein de l’Union européenne, conformément à un accord de protection des données (Data Processing Addendum) et à des engagements de localisation des données dans l’Union européenne. Si, dans des cas limités tenant notamment à des opérations de support, de sécurité ou de maintenance, un accès depuis un pays situé hors de l’Union européenne devait intervenir, il serait encadré par les mécanismes prévus au Data Protection Addendum applicable, notamment les clauses contractuelles types adoptées par la Commission européenne ou tout autre mécanisme reconnu par la réglementation applicable.
Lorsque cela est nécessaire au regard de la nature des données, du pays concerné, du prestataire utilisé et des risques identifiés, RESOCOM met en œuvre ou veille à la mise en œuvre de mesures complémentaires techniques, organisationnelles ou contractuelles afin d’assurer un niveau de protection approprié des données à caractère personnel.
Les personnes concernées peuvent obtenir des informations complémentaires sur les transferts mis en œuvre et les garanties retenues en adressant une demande à l’adresse suivante : rgpd@resocom.com.
Lorsque RESOCOM agit en qualité de sous-traitant pour le compte d’une organisation cliente, les transferts éventuellement mis en œuvre dans le cadre des services fournis sont également encadrés conformément aux engagements contractuels applicables entre RESOCOM et le client concerné.
Article 14 – Durées de conservation
Les données à caractère personnel sont conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, sous réserve des durées de conservation imposées par la loi, des nécessités probatoires, des obligations réglementaires applicables et, le cas échéant, des prescriptions contractuelles convenues avec le client.
| Catégorie de données | Finalité principale | Durée de conservation |
|---|---|---|
| Données relatives aux demandes de contact, de démonstration et aux échanges précontractuels | Gestion des prises de contact, démonstrations, échanges commerciaux et suivi des prospects | Trois (3) ans à compter du dernier contact émanant du prospect ou de la personne concernée |
| Données relatives aux comptes utilisateurs et à l’utilisation de la plateforme | Création, administration et sécurisation des comptes ; accès au service ; gestion des habilitations | Pendant toute la durée de la relation contractuelle, puis deux (2) ans à compter de sa cessation, à des fins probatoires et de gestion des litiges |
| Données administratives, contractuelles et de suivi de la relation client | Gestion de la relation commerciale, administrative et contractuelle | Pendant la durée de la relation contractuelle, puis pendant la durée nécessaire à la gestion des réclamations, à l’établissement de la preuve et à la défense des droits de RESOCOM |
| Données de facturation, pièces comptables et justificatifs de paiement | Facturation, comptabilité, obligations fiscales et légales | Dix (10) ans à compter de l’exercice concerné ou de l’émission de la pièce comptable, conformément aux obligations légales applicables |
| Documents, fichiers, contenus et données traités via la plateforme pour le compte du client | Exécution des services de collecte, de remise, d’analyse, de vérification et de gestion documentaire | Pendant la durée de mise à disposition définie par le client ou pendant la durée nécessaire à l’exécution du service concerné, puis suppression ou restitution selon les instructions du client et les stipulations contractuelles applicables. À défaut d’instruction contraire ou de durée spécifique prévue pour le dossier concerné, les données sont supprimées dans un délai maximal de 30 jours suivant la fin du service concerné ou la résiliation du contrat, sous réserve des données strictement nécessaires à la preuve de l’exécution du service, à la sécurité, au traitement d’un incident, au respect d’une obligation légale ou à la défense des droits de RESOCOM. Cette suppression s’entend hors sauvegardes techniques résiduelles, lesquelles sont conservées selon les cycles de sauvegarde applicables et ne font pas l’objet d’une restauration en environnement actif, sauf nécessité de continuité d’activité, de sécurité, d’obligation légale ou de défense des droits de RESOCOM. |
| Résultats d’analyses documentaires, vérifications associées, rapports et restitutions | Fourniture des fonctionnalités d’analyse, de vérification et de restitution | Pendant la durée nécessaire à la fourniture du service concerné et, lorsqu’ils sont rattachés au dossier client, selon la même durée que les documents et données auxquels ils se rapportent |
| Logs de connexion, journaux techniques, traces d’accès et événements de sécurité | Sécurité, supervision, détection d’anomalies, investigation et traçabilité | Douze (12) mois à compter de leur enregistrement ; en cas d’incident, les éléments strictement nécessaires à l’analyse, à l’établissement de la preuve ou à la défense des droits peuvent être conservés pendant la durée nécessaire au traitement de l’incident ou du litige |
| Données relatives au support, aux tickets d’assistance et aux échanges techniques | Traitement des demandes, suivi des incidents, traçabilité des interventions | Pendant la durée nécessaire au traitement de la demande, puis en archivage intermédiaire pendant une durée n’excédant pas celle nécessaire à la gestion des réclamations, à la preuve des interventions et à la défense des droits de RESOCOM |
| Données relatives aux oppositions à la prospection et aux demandes de désinscription | Gestion de l’opposition et respect du choix exprimé par la personne concernée | Trois (3) ans minimum à compter de l’exercice du droit d’opposition, aux seules fins de conserver la preuve de cette opposition |
| Données nécessaires à la constatation, à l’exercice ou à la défense de droits en justice | Gestion des réclamations, précontentieux, contentieux et preuve | Pendant la durée de prescription applicable ou jusqu’au règlement définitif du litige |
| Données faisant l’objet de sauvegardes techniques | Continuité d’activité, restauration et sécurité du service | Conservées selon les cycles de sauvegarde applicables, pour la durée strictement nécessaire à la continuité d’activité, à la restauration des environnements et à la sécurité des systèmes |
À l’issue des durées de conservation applicables, les données à caractère personnel sont supprimées ou anonymisées de manière irréversible, sauf lorsqu’une conservation plus longue est requise pour satisfaire à une obligation légale, réglementaire ou probatoire.
Article 15 – Sécurité et confidentialité
RESOCOM met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques présentés par les traitements de données à caractère personnel réalisés dans le cadre du site internet et de la plateforme KYOVALT, conformément à la réglementation applicable.
Ces mesures ont notamment pour objet de préserver la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement, ainsi que de prévenir tout accès non autorisé, toute divulgation, altération, perte, destruction ou indisponibilité accidentelle ou illicite des données à caractère personnel.
À ce titre, RESOCOM met notamment en œuvre, dans la mesure appropriée au regard de la nature des traitements et des risques identifiés :
- des mécanismes de contrôle d’accès logique et de gestion des habilitations ;
- des mesures d’authentification et de sécurisation des comptes utilisateurs ;
- des dispositifs de journalisation, de traçabilité et de détection d’anomalies ;
- des mesures de chiffrement des flux et, lorsque cela est approprié, des données stockées ;
- des dispositifs de supervision, de maintenance, de sauvegarde et de sécurisation de l’infrastructure ;
- des procédures internes de gestion des incidents et de traitement des événements de sécurité ;
ainsi que des engagements de confidentialité imposés aux personnes autorisées à accéder aux données.
L’accès aux données à caractère personnel est strictement limité aux seules personnes habilitées à en connaître dans l’exercice de leurs fonctions et dans la limite de ce qui est nécessaire à l’accomplissement des finalités poursuivies.
Lorsque RESOCOM recourt à des prestataires ou sous-traitants, elle veille à ce que ceux-ci présentent des garanties appropriées en matière de sécurité et de confidentialité, et à ce que leur intervention soit encadrée par des engagements contractuels conformes à la réglementation applicable.
En cas d’incident de sécurité ou de violation de données à caractère personnel au sens de la réglementation applicable, RESOCOM met en œuvre les mesures nécessaires afin d’en limiter les conséquences, d’y remédier dans les meilleurs délais et, lorsque cela est requis, de satisfaire à ses obligations de notification auprès de l’autorité compétente et, le cas échéant, d’information des personnes concernées ou du client responsable de traitement. Les CGV/CGU de KYOVALT prévoient d’ailleurs des mesures de chiffrement, de contrôle d’accès, de surveillance, de détection d’incidents et de notification des violations de données dans les conditions requises.
Lorsque RESOCOM agit en qualité de sous-traitant pour le compte d’une organisation cliente, elle met en œuvre les mesures de sécurité appropriées au regard des services fournis et informe le client, dans les conditions contractuellement applicables, de toute violation de données à caractère personnel dont elle aurait connaissance et qui concernerait les traitements réalisés pour son compte.
Article 16 – Cookies et autres traceurs
Le site internet et, le cas échéant, la plateforme KYOVALT, peuvent utiliser des cookies, traceurs ou technologies analogues permettant de déposer, de lire ou de stocker des informations sur le terminal de l’utilisateur lors de sa navigation ou de son utilisation du service.
Ces traceurs sont utilisés pour des finalités déterminées, dans le respect de la réglementation applicable, et notamment afin :
- d’assurer le fonctionnement technique du site et de la plateforme ;
- de permettre l’authentification des utilisateurs et la gestion des sessions ;
- de garantir la sécurité du service ;
- de mémoriser certains choix ou paramètres ;
et, le cas échéant, de mesurer l’audience, d’améliorer les performances ou d’adapter les services proposés.
Les cookies strictement nécessaires au fonctionnement du site ou de la plateforme et à la fourniture d’un service expressément demandé par l’utilisateur peuvent être déposés sans recueil préalable du consentement, dans les conditions prévues par la réglementation applicable.
En revanche, les cookies ou traceurs qui ne sont pas strictement nécessaires, notamment ceux utilisés à des fins de mesure d’audience, d’analyse statistique, de personnalisation ou de toute autre finalité équivalente, ne sont déposés qu’après recueil du consentement préalable de l’utilisateur, lorsque celui-ci est requis.
Lorsque le consentement est requis, celui-ci est recueilli au moyen d’un dispositif d’information et de recueil du consentement permettant à l’utilisateur d’accepter, de refuser ou de paramétrer l’utilisation des traceurs concernés. L’utilisateur peut retirer son consentement à tout moment, selon les modalités mises à sa disposition sur le site ou la plateforme.
Lorsque le consentement est requis, l’utilisateur doit pouvoir accepter ou refuser les cookies et traceurs avec le même degré de simplicité. Le dispositif de recueil du consentement permet notamment de refuser les traceurs non strictement nécessaires aussi simplement que de les accepter.
L’utilisateur peut également configurer son navigateur ou son terminal afin de limiter ou bloquer l’utilisation des cookies. Une telle configuration est toutefois susceptible d’altérer le fonctionnement de certaines fonctionnalités du site ou de la plateforme lorsque les traceurs concernés sont nécessaires à leur fonctionnement.
Pour toute information complémentaire relative aux catégories de traceurs utilisés, à leurs finalités, à leur durée de conservation et aux modalités d'exercice des choix, l'utilisateur peut se reporter à la politique de gestion des cookies accessible depuis le bandeau de consentement et le pied de page du site, ainsi qu'au module de paramétrage disponible à tout moment depuis l'interface du site.
Article 17 – Droits des personnes concernées
Conformément à la réglementation applicable en matière de protection des données à caractère personnel, toute personne concernée dispose, selon les cas et dans les conditions prévues par les textes applicables, des droits suivants sur les données à caractère personnel la concernant :
- un droit d’accès, afin d’obtenir la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, d’y accéder ainsi que d’en obtenir copie ;
- un droit de rectification, afin d’obtenir la correction ou la mise à jour des données inexactes, incomplètes ou obsolètes ;
- un droit à l’effacement, dans les cas prévus par la réglementation applicable ;
- un droit à la limitation du traitement, dans les conditions prévues par la réglementation applicable ;
- un droit d’opposition, lorsque le traitement est fondé sur l’intérêt légitime de RESOCOM, sous réserve de justifier de raisons tenant à sa situation particulière, ainsi que, sans motif, un droit d’opposition à tout moment lorsque les données sont traitées à des fins de prospection ;
- un droit à la portabilité des données qu’elle a fournies, lorsque le traitement est fondé sur le consentement ou sur l’exécution d’un contrat et qu’il est effectué à l’aide de procédés automatisés ;
- le droit de retirer son consentement à tout moment, lorsque le traitement concerné est fondé sur le consentement, sans que ce retrait n’affecte la licéité du traitement effectué avant celui-ci ;
le droit de définir des directives relatives au sort de ses données après son décès, dans les conditions prévues par le droit français.
Ces droits peuvent être exercés en adressant une demande à RESOCOM :
- par courrier électronique à l’adresse suivante : rgpd@resocom.com ;
ou par courrier postal à l’adresse mentionnée à l’article 1 de la présente politique.
Afin de préserver la confidentialité et la sécurité des données à caractère personnel, RESOCOM peut demander toute information ou tout justificatif nécessaire pour vérifier l’identité du demandeur avant de traiter sa demande.
Sous réserve des cas particuliers prévus par la réglementation applicable, RESOCOM répond à toute demande dans un délai d’un (1) mois à compter de sa réception. Ce délai peut être prolongé de deux (2) mois supplémentaires lorsque la demande est complexe ou lorsqu’un nombre élevé de demandes doit être traité. Dans une telle hypothèse, la personne concernée est informée de cette prolongation et des motifs du report dans les conditions prévues par la réglementation applicable.
L’exercice des droits est, en principe, gratuit. Toutefois, en cas de demande manifestement infondée, excessive ou répétitive, RESOCOM se réserve la faculté soit d’exiger le paiement de frais raisonnables tenant compte des coûts administratifs supportés, soit de refuser de donner suite à la demande, dans les conditions prévues par la réglementation applicable.
Lorsque RESOCOM agit en qualité de sous-traitant pour le compte d’une organisation cliente, notamment pour les données contenues dans les documents, fichiers, échanges ou traitements réalisés via la plateforme à l’initiative du client, les demandes d’exercice de droits doivent, en principe, être adressées en priorité audit client, en sa qualité de responsable de traitement. RESOCOM apporte, dans ce cas, l’assistance raisonnablement nécessaire au client afin de lui permettre de satisfaire à ses obligations réglementaires, dans les conditions prévues par la réglementation applicable et les engagements contractuels en vigueur.
Toute personne concernée dispose enfin du droit d’introduire une réclamation auprès de l’autorité de contrôle compétente. En France, cette autorité est la Commission nationale de l’informatique et des libertés (CNIL).
Article 18 – Réclamation auprès de l’autorité de contrôle compétente
Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée dispose du droit d’introduire une réclamation auprès de l’autorité de contrôle compétente si elle estime que le traitement de ses données à caractère personnel réalisé dans le cadre du site internet ou de la plateforme KYOVALT constitue une violation de la réglementation applicable en matière de protection des données à caractère personnel.
En France, l’autorité de contrôle compétente est la Commission nationale de l’informatique et des libertés (CNIL), qui peut être saisie en ligne depuis son site internet ou par courrier postal à l’adresse suivante :
Commission nationale de l’informatique et des libertés
Service des plaintes
3 Place de Fontenoy
75007 Paris
La CNIL peut également être contactée par téléphone au 01 53 73 22 22. Ce numéro correspond au standard de la CNIL et ne constitue pas nécessairement un canal de dépôt ou de suivi d’une réclamation.
La personne concernée est invitée, préalablement à toute réclamation, à contacter RESOCOM aux coordonnées mentionnées à l’article 1 de la présente politique, afin de permettre, dans la mesure du possible, le traitement de sa demande ou de sa difficulté dans les meilleurs délais. Cette faculté ne constitue toutefois pas une condition préalable obligatoire à la saisine de la CNIL.
Article 19 – Mise à jour de la politique de confidentialité
RESOCOM se réserve le droit de modifier ou de mettre à jour la présente politique de confidentialité à tout moment, afin notamment de tenir compte de toute évolution légale, réglementaire, jurisprudentielle, technique, fonctionnelle ou organisationnelle affectant les traitements de données à caractère personnel mis en œuvre dans le cadre du site internet ou de la plateforme KYOVALT.
La version en vigueur est celle publiée sur le site ou mise à disposition sur la plateforme à la date de consultation ou d’utilisation du service. La date de dernière mise à jour figure en tête de la présente politique.
En cas de modification substantielle affectant la nature des traitements mis en œuvre, les finalités poursuivies, les droits des personnes concernées ou, plus généralement, les conditions dans lesquelles les données à caractère personnel sont traitées, RESOCOM en informe les personnes concernées par tout moyen approprié, notamment par publication sur le site, mise à disposition sur la plateforme ou, lorsque cela est pertinent, par notification électronique. Cette logique est cohérente avec les CGV/CGU de KYOVALT, qui prévoient déjà une information des clients actifs en cas de modification substantielle des conditions applicables.
La poursuite de l’utilisation du site ou de la plateforme postérieurement à l’entrée en vigueur de la version mise à jour de la politique vaut prise de connaissance de cette dernière, sans préjudice des droits reconnus aux personnes concernées par la réglementation applicable.