Pays:
France
Langue:

Partner Portal

QUESTIONS ET RÉPONSES RELATIVES AU RGPD EN AJAX

Base légale 

Qu'est-ce que le RGPD ?

Le Règlement général sur la protection des données (également connu sous le nom de Règlement (UE) 2016/679 ou « RGPD », ou « GDPR » en anglais) est un règlement du droit de l'UE sur la protection des données et de la vie privée dans l'UE et l'Espace économique européen (EEE). Bien qu'il ait été rédigé et approuvé par l'Union européenne (UE), il impose des obligations en matière de protection des données aux organisations partout dans le monde, dès lors qu'elles ciblent ou collectent des données relatives à des personnes situées dans l'UE.

Qu'est-ce que les données à caractère personnel ?

Les données à caractère personnel sont toutes les informations qui se réfèrent à une personne physique qui peut être identifiée directement ou indirectement. Des informations multiples, collectées ensemble, peuvent mener à l'identification d'une personne spécifique et constituent donc des données à caractère personnel.

Les données à caractère personnel qui ont été dépersonnalisées, chiffrées ou anonymisées, mais qui peuvent être utilisées pour réidentifier une personne, restent des données à caractère personnel et entrent dans le champ d'application de la loi.

Voici quelques exemples de données personnelles : 

  • nom et prénom ;
  • adresse ;
  • adresse e-mail ;
  • numéro de carte d'identité ;
  • données de localisation ;
  • adresse IP ;
  • identifiants de cookies ;
  • identifiant publicitaire du téléphone.

Que signifie traiter des données ?

La définition du traitement des données couvre un large éventail d'opérations effectuées sur des données à caractère personnel, y compris par des moyens manuels ou automatisés. Il comprend la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction de données à caractère personnel. Si vous faites quelque chose avec des données de la manière mentionnée ci-dessus, vous traitez des données.

Quelle est la différence entre un sous-traitant et un responsable du traitement des données ?

Un responsable du traitement des données est une organisation, une institution ou une personne qui fixe les normes et les règles pour le traitement des données à caractère personnel. En pratique, cela signifie qu'un responsable du traitement est chargé de déterminer comment et pourquoi les données personnelles sont utilisées par une organisation. Le plus souvent, le responsable du traitement des données est la personne ou l'organisation qui recueille les données et décide comment elles seront utilisées.

Ceci est différent pour un sous-traitant des données. Selon le RGPD, un sous-traitant est une organisation, une institution ou une personne qui met en œuvre les normes de traitement des données établies par le responsable du traitement. En règle générale, un sous-traitant est une partie qui traite des données selon les instructions et à la discrétion d'un responsable du traitement des données. Un sous-traitant n'est pas propriétaire des données qu'il traite et n'a aucun contrôle sur celles-ci. Cela signifie que le sous-traitant ne peut pas modifier la signification des données, ni déterminer la manière dont les données sont utilisées et qu'il est lié par les instructions.

Il y a quelques questions à poser pour comprendre la différence entre les fonctions de responsable du traitement des données et de sous-traitant des données :

Le Responsable du traitement des données prend les décisions suivantes :

  • l'organisation qui collecte les données en première instance et qui en a la base légale ;
  • à quoi servent les données à caractère personnel ;
  • la décision de divulguer ou non les données et, le cas échéant, à qui ;
  • l'application du droit d'accès et des autres droits des personnes concernées, ou l'existence d'exemptions ;
  • combien de temps conserver les données ou s'il faut modifier les données d'une manière qui n'est pas habituelle.

Le Sous-traitant des données prend les décisions suivantes :

  • les méthodes utilisées pour la collecte et le stockage des données personnelles ;
  • comment les données sont sécurisées ;
  • les moyens utilisés pour transférer des données personnelles d'une organisation à une autre ;
  • comment les données personnelles sont récupérées ;
  • la méthode permettant de garantir le respect d'un calendrier de conservation ;
  • comment les données personnelles sont supprimées.

Quelles sont les conditions du RGPD pour le traitement des données à caractère personnel ?

L'article 6 du RGPD énumère les différentes conditions (également appelées base légale) en vertu desquelles il est légal de traiter des données à caractère personnel :

  1. Consentement. Le consentement signifie que la personne concernée a donné son accord explicite à une activité de traitement de données à caractère personnel pour une ou plusieurs finalités spécifiques. La notion de finalité est ici essentielle. Si la personne concernée, également appelée personne physique, donne son consentement au traitement sans connaître la ou les finalités spécifiques dans leur intégralité et d'une manière facile à comprendre, le consentement n'est pas une base légale pour le traitement, car il doit être librement donné, précis, informé et sans ambiguïté. Les consentements doivent être granulaires et ne peuvent pas être regroupé. Ainsi, pour chaque activité de traitement des données dans le cadre d'une opération plus large, la règle générale est qu'un consentement distinct est nécessaire pour chaque activité.
  2. Le traitement est nécessaire à l'exécution ou à la préparation d'un contrat auquel la personne concernée est partie. Une organisation peut s'appuyer sur cette base légale si elle doit traiter les données à caractère personnel d'une personne pour lui fournir un service contractuel ou parce qu'elle a demandé à l'organisation de faire quelque chose avant de conclure un contrat (par exemple, fournir un devis).
  3. Il est nécessaire de traiter les données pour remplir une obligation légale. Si le responsable du traitement des données a une obligation légale pour laquelle des données à caractère personnel particulières doivent être traitées, le traitement est alors autorisé. Le respect d'une obligation légale pour laquelle le traitement est nécessaire et à laquelle le responsable du traitement est soumis n'est pas nouveau non plus.
  4. Le traitement des données est nécessaire pour sauver la vie de quelqu'un. Cette base est également connue comme « intérêt vital ». Dans ce cas, la personne physique ne doit pas nécessairement être une personne concernée ; il peut également s'agir d'une autre personne physique. Bien entendu, il n'appartient pas au responsable du traitement de définir ce qu'est un intérêt vital. Cette base concerne davantage les situations de danger de mort où il n'y a pas d'autre base juridique pour le traitement, mais où le fait de ne pas traiter les données à caractère personnel signifierait essentiellement que quelqu'un mourrait si le sous-traitant ne prenait pas de mesures et qu'il avait donc besoin de savoir quelques choses sur la personne physique en danger.
  5. Le traitement est nécessaire à l'exécution d'une tâche d'intérêt public ou à l'exercice d'une fonction officielle. Une organisation peut s'appuyer sur cette base légale si elle doit traiter des données à caractère personnel « dans le cadre de l'exercice de l'autorité publique ». Il s'agit des fonctions et pouvoirs publics prévus par la loi, ou de l'exécution d'une tâche spécifique d'intérêt public prévue par la loi.
  6. Le responsable du traitement a un intérêt légitime à traiter les données à caractère personnel d'une personne. Le traitement de données à caractère personnel dans ce contexte n'est pas nécessairement justifié par une obligation légale ou effectué pour remplir les condition d'un contrat avec une personne. Dans ce cas, le traitement des données à caractère personnel peut être justifié par des motifs d'intérêt légitime. Par exemple, un sous-traitant a un intérêt légitime lorsque le traitement a lieu dans le cadre d'une relation avec un client, à des fins de marketing direct, pour prévenir la fraude ou pour assurer la sécurité du réseau et de l'information des systèmes informatiques. 

Comment fonctionne le consentement dans le cadre du RGPD ? 

Il existe des règles strictes concernant le consentement d'une personne concernée au traitement de ses données :

  • Le consentement doit être « librement donné, précis, informé et sans ambiguïté ».
  • Les demandes de consentement doivent être « clairement distinguées des autres questions » et présentées dans un « langage clair et simple ».
  • Les personnes concernées peuvent retirer le consentement qu'elles ont donné précédemment quand elles le souhaitent et vous devez respecter leur décision. Il n'est pas possible de changer simplement la base légale du traitement par l'une des autres justifications.
  • Besoin de conserver des preuves documentaires de consentement.

Quels sont les droits individuels au titre du RGPD ?

Le RGPD prévoit les droits suivants pour les individus :

  1. Le droit d'être informé (les individus ont le droit d'être informées de la manière dont les entreprises collectent et utilisent leurs données personnelles, de la durée pendant laquelle elles prévoient de conserver ces données et des personnes avec lesquelles elles les partageront) ;
  2. Le droit d'accès (les individus ont le droit de savoir exactement quelles informations les entreprises ont collectées, comment elles stockent et traitent ces données et ce qu'elles vont en faire) ;
  3. Le droit de rectification (les individus ont le droit de faire compléter les données incomplètes et rectifier les données inexactes) ;
  4. Le droit à l'effacement (les individus ont le droit de faire effacer définitivement les données à caractère personnel. Ce droit est également connu sous le nom de « droit à l'oubli ») ;
  5. Le droit de restreindre le traitement (si les individus ne peuvent pas exiger que les responsables du traitement effacent leurs informations personnelles, ils peuvent restreindre la capacité des responsables du traitement à traiter ces données) ;
  6. Le droit à la portabilité des données (les individus ont le droit d'obtenir et de réutiliser leurs données personnelles à leurs propres fins dans différents services) ;
  7. Le droit d'opposition (les individus ont le droit de s'opposer au traitement de leurs données personnelles dans certaines circonstances) ;
  8. Droits relatifs à la prise de décision automatisée et au profilage (les individus ont le droit d'exiger une intervention humaine, plutôt que de confier à des algorithmes la prise de décisions importantes).

Quels sont les sept principes du RGPD ?

Selon le GDPR, il existe sept principes clés en matière de protection des données et de responsabilité :

  1. Légalité, loyauté et transparence. Le traitement doit être licite, loyal et transparent pour la personne concernée.
  2. Limitation des finalités. Le traitement des données doit être effectué pour les finalités légitimes explicitement spécifiées à la personne concernée au moment de la collecte.
  3. Minimisation des données. La collecte et le traitement des données doivent se limiter à ce qui est absolument nécessaire aux fins spécifiées.
  4. Exactitude. Les données à caractère personnel doivent être exactes et à jour.
  5. Limitation du stockage. Les données à caractère personnel ne peuvent être conservées que pour la durée nécessaire à la réalisation de la finalité spécifiée.
  6. Intégrité et confidentialité. Le traitement doit être effectué de manière à garantir une sécurité, une intégrité et une confidentialité appropriées (par exemple en utilisant le chiffrement).
  7. Responsabilité. Le responsable du traitement des données est chargé de pouvoir démontrer la conformité du RGPD avec l'ensemble de ces principes.

Le RGPD exige-t-il que les données personnelles des résidents de l'UE restent dans l'UE ?

Le RGPD ne prévoit pas de restriction directe pour que les données personnelles des résidents de l'UE restent uniquement dans l'UE. Cependant, la protection des données de l'UE fonctionne selon le principe « Le RGPD reste avec les données », ce qui signifie que les règles protégeant les données personnelles continuent de s'appliquer quel que soit l'endroit où les données se trouvent. Ce principe s'applique également lorsque des données à caractère personnel sont transférées vers un pays qui n'est pas membre de l'UE.

Traitement par Ajax

Ajax traite-t-elle mes données personnelles ? 

Oui, Ajax peut traiter vos données personnelles. Vous trouverez ci-dessous les principales façons dont nous pouvons utiliser vos informations :

  1. dans nos systèmes de sécurité (par exemple, via la centrale Ajax et d'autres dispositifs) ;
  2. dans nos applications pour les utilisateurs finaux et les utilisateurs PRO : mobile (Ajax Security System et Ajax PRO: Tool for Engineerss), de bureau (Ajax Desktop et PRO Desktop) et outils web Ajax (ci-après dénommés les Produits ou Services) ;
  3. lorsque les utilisateurs visitent notre site web à l'adresse https://ajax.systems ;
  4. dans le cadre de la collaboration commerciale entre vous et Ajax (peu importe si vous êtes un partenaire ou sous-traitant direct ou indirect d'Ajax) ;
  5. lors de communications personnalisées entre vous et Ajax (par exemple, entretiens, réunions, etc.) ;

lors de la fourniture de services liés à la fonctionnalité améliorée des Services Ajax (y compris Ajax SIM, Ajax Cloud Storage, etc.) ;

Quels types de données me concernant peuvent être traités par Ajax ?

Ajax peut traiter différents types de données, en fonction du scénario de l'interaction avec vous.

Grâce à nos dispositifs de sécurité, nous pouvons traiter :

  • Informations sur la centrale Ajax (son modèle et le numéro de série, les informations réseau, y compris l'adresse IP, les journaux d'activité du dispositif, l'historique et la configuration actuelle du dispositif, l'emplacement, etc).
  • Données de télémétrie et environnementales.

Afin de fournir aux utilisateurs des informations sur le système sous forme de statuts et d'événements, nous traitons les données de télémétrie.

Le terme « données de télémétrie » (ci-après également « télémétrie ») désigne les données et autres indications qui sont automatiquement collectées, transmises et mesurées par les capteurs intégrés à nos dispositifs, afin de déterminer l'état de l'environnement et l'opérabilité, et de détecter d'éventuelles anomalies dans le fonctionnement des dispositifs.

Lors de l'utilisation de nos Produits ou Services, nous pouvons traiter :

  • Informations vous concernant (nom, prénom, email, numéro de téléphone et votre photo).
  • Les informations que vous partagez avec nous à partir du répertoire de votre dispositif lorsque vous invitez des utilisateurs à utiliser le Produit (comme l'adresse électronique ou le numéro de téléphone d'une personne que vous invitez à utiliser le Produit).
  • Identifiants uniques pour nos Services (tels que votre nom d'utilisateur et votre mot de passe).
  • Identifiants uniques des utilisateurs que vous avez connectés au Produit, tels que le nom d'utilisateur, le rôle de l'utilisateur dans le Produit et son adresse électronique ; informations sur vos appareils mobiles et de bureau, telles que le type d'appareil, le système d'exploitation et la langue du système.
  • Données de géolocalisation pour vous fournir des rappels pour armer/désarmer le système si vous activez la fonction Géorepérage dans notre application.
  • Pour les SMS des utilisateurs sous Android avec le code d'autorisation requis lors de l'enregistrement ou des modifications du compte.
  • Informations sur votre utilisation de nos Produits et Services (telles que les demandes de l'App à notre serveur).

Si vous visitez notre site web, nous pouvons traiter :

  • Les informations que vous fournissez en remplissant les formulaires, qui peuvent contenir vos informations personnelles et vos coordonnées de contact.
  • Cookie ID (via un outil conforme au RGPD).
  • Votre adresse IP pour définir le pays de votre emplacement.

Lors d'une collaboration commerciale, nous pouvons traiter :

  • Coordonnées des représentants des entreprises (nom, fonction, adresse électronique et numéro de téléphone).
  • Requêtes des partenaires et de leurs représentants autorisés (par exemple, envoyées à l'adresse e-mail du support, via les applications, les messageries, etc.).
  • Cartes de visite des partenaires.

Pendant les communications personnalisées, les entretiens ou les réunions :

Si vous décidez de nous contacter ou de postuler à un emploi chez Ajax, en plus des données collectées de la manière décrite ci-dessus, nous pourrions également collecter et traiter des données personnelles supplémentaires que vous partagez lors de la communication et/ou dans les documents que vous fournissez (par exemple, CV, lettre de motivation), incluant, mais sans s'y limiter :

  • Informations personnelles (prénom, nom, numéro de téléphone, adresse électronique, photo).
  • Identifiants uniques (par exemple, nom d'utilisateur, identifiant de connexion).
  • Expérience professionnelle antérieure.
  • Informations sur l'éducation et la formation.
  • Certificats, diplômes, références.
  • Hobbies, centres d'intérêt et autres préférences personnelles.

Pour un tel traitement, la liste (portée) des données personnelles et autres informations peut être modifiée, détaillée ou étendue tout au long du processus. En même temps, la collecte et le traitement des données personnelles nécessaires sont limités aux fins de ce traitement et sont effectués conformément aux exigences de la loi applicable.

De plus, lors du traitement des données dans le cadre de communications commerciales ou personnalisées, de la gestion des demandes de partenaires et des cartes de visite, de la conduite de réunions, d'entretiens, etc., ainsi que pour l'optimisation des opérations et processus internes, Ajax peut utiliser les technologies d'intelligence artificielle (ci-après également dénommée « IA »).

Les données traitées par l'intelligence artificielle peuvent, dans certains cas, inclure des données personnelles identifiant un individu, dans la mesure et la quantité où : a) ces données sont publiquement disponibles ; b) ces données ont été volontairement fournies par vous.

En même temps, l'accès aux données que vous avez fournies volontairement à Ajax est strictement limité aux employés d'Ajax. L'IA n'est pas capable d'identifier vos données, mais elle traite uniquement de telles requêtes, en particulier celles provenant des utilisateurs/clients d'Ajax, etc. Les décisions concernant la gestion des données que nous recevons des demandes des utilisateurs/clients d'Ajax et des cartes de visite des partenaires sont prises exclusivement par les employés d'Ajax.

Pour le traitement spécifique basé sur l'intelligence artificielle, nous faisons appel à des prestataires de services qui maintiennent le niveau nécessaire de protection des données personnelles.

Veuillez noter que le traitement de ces données par Ajax est limité et est effectué uniquement dans le but d'améliorer l'efficacité des opérations internes et dans le cadre des finalités connexes.

Quelle est la finalité et la base juridique du traitement ?

  • Toutes les données que nous recevons par le biais de nos dispositifs de sécurité ou lorsque vous utilisez nos Produits ou Services sont traitées uniquement pour vous fournir les services de sécurité demandés. Cela signifie que nous traitons toutes ces données pour exécuter un contrat que nous avons avec vous. De plus, cela signifie que nous ne recueillons aucune donnée qui ne nous est pas spécifiquement nécessaire pour vous fournir de tels services.
  • Si vous décidez de vous abonner à notre newsletter, nous vous enverrons par e-mail des informations nous concernant et nos dernières mises à jour. Nous comptons sur votre consentement que vous accordez en confirmant votre abonnement. De plus, nous personnaliserons ces emails en fonction des renseignements que nous avons à votre sujet, afin qu'ils soient plus pertinents et plus utiles pour vous.
  • Si vous avez partagé les journaux de vos opérations à partir de votre application, au cas où vous auriez un problème, nous les traiterons pour résoudre votre problème technique et pour améliorer nos Produits et Services. Nous les traitons en fonction de notre intérêt légitime à rendre nos offres commerciales plus compétitives.
  • Nous utilisons les données que vous partagez avec nous à partir du répertoire de votre dispositif lorsque vous invitez des utilisateurs au Produit (comme l'adresse électronique ou le numéro de téléphone d'une personne que vous invitez au Produit) pour envoyer l'invitation à ces personnes uniquement.
  • Toutes les données que vous nous fournissez volontairement, que ce soit par e-mail, via des applications ou des messageries, ou en partageant des cartes de visite ou des CV, ainsi que les données accessibles au public, sont traitées pour assurer l'efficacité des processus internes, établir une coopération commerciale et/ou soutenir une communication personnalisée.

Où sont stockées les informations ?

Les données personnelles des utilisateurs, qu'Ajax peut recueillir auprès de vous, sont stockées dans le stockage cloud situé en Irlande, en Allemagne et en France (à l'intérieur de l'EEE) ; le choix du lieu de stockage des données (en Irlande, en Allemagne et en France) est soumis à la disponibilité de l'infrastructure AWS.

D'autres données personnelles collectées par Ajax peuvent également être stockées sur des serveurs et/ou un stockage cloud situés dans diverses juridictions. Cela inclut le stockage chez les sociétés affiliées du groupe Ajax, ainsi qu'avec des tiers qui sont des sous-traitants, des fournisseurs ou des vendeurs de services Ajax, dont les serveurs sont situés dans des pays offrant un niveau adéquat de protection et de sécurité des données personnelles.

Bien que les lois sur la protection des données personnelles puissent varier d'un pays à l'autre, Ajax applique les mesures de protection décrites dans ce document et d'autres documents internes, quel que soit l'endroit où ces données sont stockées.

Combien de temps les informations sont-elles stockées ?

Toutes les données sont conservées pendant toute la durée de la relation avec le client, à l'exception de la mémoire des notifications push, qui est limitée à 500 transactions. Pour le journal des événements du Compte PRO Desktop, la durée de stockage des notifications d'événements est de 2 ans. Toutefois, certains types de données (tels que le nom des représentants, leur fonction et les coordonnées mentionnées dans les contrats) peuvent être conservés plus longtemps que la période de coopération afin de remplir nos obligations légales.

Type de données

Finalité du traitement

Base juridique

Période de stockage

Informations sur la centrale Ajax (modèle et numéro de série, informations réseau, y compris l'historique d'événements, les paramètres du dispositif actuels et précédents, l'emplacement)

Pour assurer le bon fonctionnement de la centrale Ajax, des dispositifs et des applications Ajax

Contrat, en cas d'assistance : intérêt légitime

Pendant toute la durée de la relation avec le client ou jusqu'à l'effacement demandé/effectué par l'utilisateur.

Des copies de sauvegarde sont conservées pendant une durée maximale de 12 mois.

Identifiants uniques (nom d'utilisateur et mot de passe)

Autorisation de l'utilisateur 

Contrat

Pendant toute la durée de la relation avec le client ou jusqu'à l'effacement demandé/effectué par l'utilisateur.

Des copies de sauvegarde sont conservées pendant une durée maximale de 12 mois.

Données géolocalisées

Pour assurer le bon fonctionnement de la centrale Ajax, des dispositifs et des applications Ajax

Contrat et/ou intérêt légitime

Pendant toute la durée de la relation avec le client ou jusqu'à l'effacement demandé/effectué par l'utilisateur.

Des copies de sauvegarde sont conservées pendant une durée maximale de 12 mois.

Informations sur votre utilisation de nos Produits et Services (telles que les demandes de l'application à notre serveur)

Pour assurer le bon fonctionnement de la centrale Ajax, des dispositifs et des applications Ajax

Contrat

Pendant toute la durée de la relation avec le client ou jusqu'à l'effacement demandé/effectué par l'utilisateur.

Des copies de sauvegarde sont conservées pendant une durée maximale de 12 mois.

Informations fournies en remplissant les formulaires, qui peuvent contenir des informations personnelles et des coordonnées

Pour des besoins de communication, de livraison de produits et de promotions marketing

Consentement

Pendant toute la durée de la relation avec le client ou jusqu'à l'effacement demandé/effectué par l'utilisateur.

Des copies de sauvegarde sont conservées pendant une durée maximale de 12 mois.

Adresse IP

Pour assurer le bon fonctionnement de la centrale Ajax, des dispositifs et des applications Ajax

Consentement ou contrat

Pendant toute la durée de la relation avec le client ou jusqu'à l'effacement demandé/effectué par l'utilisateur.

Des copies de sauvegarde sont conservées pendant une durée maximale de 12 mois.

Nom, prénom et coordonnées

Pour assurer le bon fonctionnement de la centrale Ajax, des dispositifs et des applications Ajax

Consentement

Pendant toute la durée de la relation avec le client ou jusqu'à l'effacement demandé/effectué par l'utilisateur.

Des copies de sauvegarde sont conservées pendant une durée maximale de 12 mois.

Images prises par des dispositifs Ajax 

Pour assurer le bon fonctionnement de la centrale Ajax, des dispositifs et des applications Ajax

Contrat

  • Applications mobiles Ajax : Les fichiers multimédias sont stockés pendant 2 ans pour les comptes des utilisateurs finaux et des comptes PRO. Cependant, les photos peuvent être supprimées plus tôt avec les événements associés si la limite de 500 événements est atteinte.
  • Applications de bureau Ajax : La durée de stockage dépend des paramètres et varie de 7 jours à 2 ans.
  • Ajax Translator : Ne stocke pas les images. Les liens vers les images restent actifs pendant 7 jours à partir du moment où ils sont générés.

Données de télémétrie et informations environnementales

Pour assurer le bon fonctionnement de la centrale et d'autres dispositifs Ajax

Consentement ou contrat

Pendant toute la durée de la relation avec le client ou jusqu'à l'effacement demandé/effectué par l'utilisateur.

Des copies de sauvegarde sont conservées pendant une durée maximale de 12 mois.

Informations fournies lors de communications avec des partenaires (par exemple, cartes de visite avec coordonnées, titre professionnel, etc.)

Pour les communications liées à la collaboration commerciale et l'organisation de réunions

Consentement et/ou contrat

Pendant toute la durée de la relation avec le partenaire ou jusqu'à l'effacement demandé/effectué par la personne.

Informations sur un candidat à un poste vacant et/ou un employé

Pour une communication personnalisée, une coopération et l'organisation d'entretiens

Consentement et/ou contrat

Pendant toute la durée de la relation avec le candidat/employé ou jusqu'à l'effacement demandé.

Qui a accès au système et aux informations du côté d'Ajax ?

Ajax suit les principes de minimisation de la disponibilité et de minimisation des privilèges lors de l'accès aux données. Ainsi, l'accès aux données ne peut être accordé qu'aux employés d'Ajax chargés de soutenir le processus de fourniture des services et des projets. Lorsque le personnel d'Ajax accède aux données, son équipement est protégé par un système de chiffrement et d'autres outils, conformément aux normes techniques les plus strictes du marché. Tous les employés ont signé un accord de confidentialité et procèdent chaque année à une évaluation de la protection des données. Toutes les actions du personnel sont enregistrées et les enregistrements sont automatiquement vérifiés en temps réel. En cas de doute sur un accès excessif, nous restreignons l'accès et commençons immédiatement à enquêter sur l'affaire. Néanmoins, nous tenons à souligner qu'Ajax n'accède jamais aux données sans disposer d'une base juridique valable pour un tel accès. Dans certains cas, l'utilisateur peut demander à Ajax (à ses propres risques) d'accorder l'accès aux données de l'utilisateur à des fournisseurs tiers désignés par l'utilisateur (sociétés de sécurité, installateurs) par l'intermédiaire d'applications mobiles ou pour PC. Dans ce cas, les entreprises choisies par l'utilisateur auront également accès aux données que l'utilisateur souhaite voir transférées.

Que fait Ajax pour se conformer aux lois mondiales sur la protection des données ? Comment Ajax démontre-t-il sa conformité avec le RGDP ?

Pour se conformer aux lois internationales sur la protection des données, Ajax applique un nombre important de mesures, de mécanismes et de procédures. Par exemple, Ajax applique les principes de limitation du traitement des données (respect de la vie privée dès la conception et par défaut), de minimisation des données, de contrôle d'accès, de politiques de traitement des données (politiques de stockage, de traitement, de suppression, etc.). Dans le cadre des transferts de données, Ajax utilise diverses mesures, y compris des mesures organisationnelles et techniques et des Clauses contractuelles types. Vous trouverez plus d'informations à ce sujet dans la section Transfert de données.

Comment puis-je exercer mes droits en matière de protection de la vie privée ?

Pour exercer vos droits en matière de protection de la vie privée (supprimer vos données personnelles, vous y opposer ou en être informé, restreindre le traitement, etc.), vous pouvez nous contacter à l'adresse électronique privacy@ajax.systems.

Transfert de données

Avec qui la société Ajax peut-elle partager mes données ? Quels types de données peuvent être partagés et dans quels cas ?

En général, nous ne pouvons partager vos données personnelles que lorsque cela est nécessaire pour vous fournir les services demandés. Ces données peuvent être divulguées à nos fournisseurs et prestataires de services, qui fournissent certains services pour le fonctionnement de nos Produits et Services. Cela comprend l'hébergement des données, l'assistance technique, la communication, etc. Nous veillerons à ce que ces fournisseurs les traitent et les protègent aussi bien que nous.

Nous pouvons partager vos coordonnées (telles que le numéro de téléphone portable, le pseudo et l'e-mail) avec des fournisseurs de services de sécurité physique si vous nous le demandez en sélectionnant un tel fournisseur dans notre application. Veuillez noter que ces fournisseurs de services deviendront des contrôleurs de données indépendants, responsables du traitement de vos données personnelles. Malgré le fait que nous choisissions des partenaires réputés dans notre application, nous vous recommandons de vérifier leur politique de confidentialité avant de nous demander de transférer vos données aux sociétés sélectionnées.

Pour certains besoins, Ajax peut utiliser les services de sous-traitants tiers situés en dehors de l'EEE. Ces besoins peuvent inclure l'hébergement de données, la communication technique pour l'enregistrement, l'installation et d'autres activités organisationnelles via le courrier électronique ou le téléphone.

Ajax fait le nécessaire pour s'assurer que ces transferts sont effectués en conformité avec toutes les lois applicables en matière de protection des données. Par conséquent, Ajax a signé des accords de traitement des données (DPA) avec tous les sous-traitants (y compris des clauses contractuelles types (SCC) dans le cas de transferts de données transfrontaliers), ainsi que des mesures supplémentaires dans le cas de transferts et de traitements de données. Tous les sous-traitants d'Ajax ont leur propre politique de protection de la vie privée et d'autres documents relatifs à la protection de la vie privée, qui sont examinés par les professionnels d'Ajax afin d'en assurer la conformité sur une base régulière.

Liste des sous-traitants agréés par Ajax :

Service

Fournisseur

Finalité d'utilisation

Lien vers la Politique de confidentialité et le DPA

AWS

Amazon

Hébergement et sauvegarde des données

https://aws.amazon.com/privacy/ 

https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html 

Twilio

Twilio Group

SMS programmable

https://www.twilio.com/legal/privacy 

https://sendgrid.com/resource/general-data-protection-regulation-2/

SendGrid

Twilio Group

Communication par e-mail 

programmable

https://www.twilio.com/legal/privacy 

https://sendgrid.com/resource/general-data-protection-regulation-2/

Mailgun

Sinch Email

Service de courriel transactionnel

 

https://www.mailgun.com/legal/privacy-policy/ 

https://www.mailgun.com/legal/dpa/ 

MongoDB

MongoDB Inc.

Fournisseur de services de base de données

https://www.mongodb.com/legal/privacy-policy

https://www.mongodb.com/legal/dpa

Google BigQuery

Google LLC

Analytique et amélioration des services

https://policies.google.com/privacy

BlueDot

Twiso, Inc

Carnet de communication avec les candidats

https://www.bluedothq.com/privacy

Creatio

CREATIO EMEA LTD

Système CRM (système de communication unifié)

https://www.creatio.com/privacy-policy, https://www.creatio.com/GDPR

OpenAI

OpenAI, L.L.C.

Réponses automatiques aux demandes

https://openai.com/security-and-privacy/

Qu'est-ce que les Clauses contractuelles types ?

Les clauses contractuelles types (SCC) sont des modèles de clauses de protection des données normalisées et préapprouvées qui permettent aux responsables du traitement et aux sous-traitants de se conformer à leurs obligations en vertu de la législation européenne sur la protection des données. Elles peuvent être intégrées par les responsables du traitement et les sous-traitants dans leurs accords contractuels avec d'autres parties, telles que les partenaires commerciaux. Les clauses peuvent être utilisées sur une base volontaire pour démontrer le respect des exigences en matière de protection des données, ce qui nécessite un engagement contractuel contraignant à les respecter. La Commission européenne a le pouvoir d'adopter des SCC(1) en ce qui concerne la relation entre le responsable du traitement et le sous-traitant et (2) pour le transfert de données à caractère personnel vers des pays situés en dehors de l'EEE.

Qu'est-ce que les Mesures supplémentaires ?

Les Mesures supplémentaires sont des procédures techniques et organisationnelles spécialement mises en œuvre pour atteindre un niveau d'assurance efficace sur les données transférées équivalent au traitement des données au sein de l'EEE.

Ajax a mis en œuvre, entre autres, les mesures organisationnelles suivantes :

  • des formations de sensibilisation régulières et des examens pour les employés d'Ajax ;
  • un système automatisé de surveillance en temps réel des violations et des vulnérabilités ; 
  • l'enregistrement continu de tous les processus.
  • l'inspection et la validation personnalisées régulières du système Ajax concernant les vulnérabilités.

Ajax a mis en œuvre, entre autres, les mesures techniques suivantes :

  • Mesures visant à empêcher les personnes non autorisées d'accéder aux systèmes de traitement des données situés dans les locaux et installations (y compris les bases de données, les serveurs d'applications et le matériel connexe), où des données à caractère personnel sont traitées, y compris la création de zones de sécurité, la restriction des voies d'accès, la création d'autorisations d'accès pour les employés et les tiers, le verrouillage des portes (ouvre-portes électriques, etc.).
  • Mesures visant à empêcher l'utilisation des systèmes de traitement des données par des personnes non autorisées, y compris les procédures d'identification et d'authentification des utilisateurs, les procédures de sécurité des identifiants et des mots de passe, le chiffrement des supports de données archivés.
  • Mesures visant à garantir que les personnes autorisées à utiliser un système de traitement des données n'ont accès qu'à ces données personnelles conformément à leurs droits d'accès et que les données personnelles ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation, y compris les politiques et procédures internes, les systèmes d'autorisation de contrôle, les droits d'accès différenciés (profils, rôles, transactions et objets), la surveillance et l'enregistrement des accès, les mesures disciplinaires à l'encontre des employés qui accèdent à des données personnelles sans autorisation.
  • Mesures visant à garantir que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission électronique, du transport ou du stockage sur des supports (manuels ou électroniques) et qu'il est possible de vérifier à quelles sociétés ou autres entités juridiques les données à caractère personnel sont divulguées, y compris le chiffrement, la journalisation et la sécurité du transport. Toutes les données personnelles sont chiffrées avec l'algorithme AES256 au repos et sont soumises à un transfert via HTTPS avec chiffrement AES128 et TLS 1.2.
  • Mesures permettant de contrôler si des données ont été saisies, modifiées ou supprimées (effacées) et par qui, dans les systèmes de traitement des données, y compris les systèmes d'enregistrement et de compte rendu, les pistes d'audit et la documentation.
  • Mesures visant à garantir la protection des données à caractère personnel contre la destruction accidentelle ou la perte (physique/logique), y compris les procédures de sauvegarde, l'alimentation électrique sans interruption (UPS), le stockage à distance, les systèmes antivirus/pare-feu, le plan de reprise après sinistre, le plan de viabilité de l'entreprise.
  • Mesures visant à garantir que les données à caractère personnel collectées à des fins différentes peuvent être traitées séparément, y compris la séparation des bases de données, la limitation de l'utilisation, la séparation des fonctions (production/test).

Qu'est-ce qu'une Analyse d'impact du transfert des données personnelles (TIA) ?

Une Analyse d'impact du transfert (TIA) est une analyse effectuée par un responsable du traitement des données ou par un sous-traitant des données sur les implications en matière de sécurité d'un transfert de données à caractère personnel vers des pays situés en dehors de l'UE/EEE ou bénéficiant d'une décision d'adéquation.