Politique de protection des données personnelles

La présente politique de protection des données personnelles (ci-après la « Politique ») décrit les conditions dans lesquelles WEYTOP traite les données à caractère personnel dans le cadre de l’utilisation de son application et de ses services, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n°78-17 du 6 janvier 1978 modifiée.

1. Définitions

Conformément aux Lois sur la Protection des Données en vigueur, les termes ci-dessous ont la signification suivante :

  1. Autorité de Contrôle : toute autorité publique indépendante chargée de veiller au respect des Lois sur la Protection des Données.
  2. Données : toute information se rapportant à une personne physique identifiée ou identifiable.
  3. Droits des Personnes : droits d’accès, de rectification, d’effacement, d’opposition, de limitation, de portabilité, de ne pas faire l’objet d’une décision automatisée et de définir des directives post-mortem.
  4. EEE : Espace Économique Européen.
  5. Lois sur la Protection des Données : RGPD et législation nationale applicable.
  6. Personne Concernée : toute personne physique dont les Données font l’objet d’un Traitement.
  7. Responsable de Traitement : l’utilisateur ou le client déterminant les finalités et les moyens du Traitement.
  8. Sous-traitant : WEYTOP, agissant pour le compte du Responsable de Traitement.
  9. Sous-traitant Ultérieur : tout prestataire intervenant pour le compte du Sous-traitant.
  10. Traitement : toute opération appliquée à des Données (collecte, conservation, utilisation, suppression, etc.).
  11. Violation de Données : toute violation de sécurité entraînant une destruction, perte, altération ou divulgation non autorisée de Données.
  12. Délégué à la Protection des Données (DPO) : personne éventuellement désignée pour superviser la conformité.

2. Rôle des parties

Le Responsable de Traitement demeure responsable des Données qu’il confie à WEYTOP dans le cadre de l’utilisation du service.
WEYTOP agit exclusivement en qualité de Sous-traitant, sur instruction documentée du Responsable de Traitement.

3. Bases légales des traitements

Conformément à l'article 6 du RGPD, chaque traitement de données repose sur une base légale :

Traitement Base légale (article 6 RGPD)
Authentification et gestion du compte utilisateur Exécution du contrat (art. 6.1.b)
Sécurisation de l'accès à l'application Intérêt légitime de WEYTOP (art. 6.1.f)
Journalisation des actions et audit Intérêt légitime de WEYTOP (art. 6.1.f)
Surveillance des erreurs et performance (Sentry) Intérêt légitime de WEYTOP (art. 6.1.f)
Synchronisation des utilisateurs via Azure AD / Google Workspace Exécution du contrat (art. 6.1.b)
Réponse aux demandes d'assistance Exécution du contrat (art. 6.1.b)
Respect des obligations légales (injonctions) Obligation légale (art. 6.1.c)

L'intérêt légitime de WEYTOP repose sur la nécessité d'assurer la sécurité, la disponibilité et la qualité du service, sans porter atteinte aux droits et libertés des Personnes Concernées.

4. Obligations du Responsable de Traitement

Le Responsable de Traitement s’engage à :

  • fournir des Données licites et exactes ;
  • documenter toute instruction relative au Traitement ;
  • respecter les Lois sur la Protection des Données ;
  • informer les Personnes Concernées des Traitements réalisés.

5. Obligations du Sous-traitant

WEYTOP s’engage à :

  • traiter les Données uniquement sur instruction du Responsable de Traitement ;
  • garantir la confidentialité des Données ;
  • mettre en oeuvre des mesures techniques et organisationnelles adaptées ;
  • assister le Responsable de Traitement dans le respect de ses obligations légales.

6. Sous-traitance ultérieure

WEYTOP est autorisé à recourir à des Sous-traitants Ultérieurs, notamment :

Sous-traitant Ultérieur Localisation Traitements concernés
Scaleway (hébergement) Union européenne Hébergement, sauvegarde
Sentry (monitoring) États-Unis Surveillance des erreurs, performance applicative

Note concernant Sentry : Sentry est certifié conforme au Data Privacy Framework (DPF) UE-États-Unis, garantissant un niveau de protection adéquat pour les transferts de données. Les données transmises incluent : adresse IP, identifiant utilisateur, informations techniques sur les erreurs et requêtes associées.

WEYTOP demeure pleinement responsable des actes de ses Sous-traitants Ultérieurs.

7. Transferts internationaux

Les Données sont principalement hébergées et traitées au sein de l'EEE (Scaleway, Union européenne).

Certains transferts hors EEE sont réalisés dans le cadre des Sous-traitants Ultérieurs listés à l'article 6, notamment vers les États-Unis. Ces transferts sont encadrés par des garanties appropriées :

  • Data Privacy Framework (DPF) : mécanisme de certification reconnu par la Commission européenne (décision d'adéquation du 10 juillet 2023) garantissant un niveau de protection adéquat.

Aucun autre transfert hors EEE n'est réalisé sans l'autorisation préalable du Responsable de Traitement et sans garanties appropriées (clauses contractuelles types, règles d'entreprise contraignantes, etc.).

8. Données collectées via des services tiers

8.1 Connexion via un compte Google

Lors de l'inscription ou de la connexion via un compte Google, WEYTOP accède uniquement aux Données suivantes :

  • nom ;
  • prénom ;
  • adresse e-mail.

Aucune autre donnée issue du compte Google (contacts, fichiers, calendriers, contenus Gmail ou autres services Google) n'est collectée ou consultée.

Finalités du traitement :

  • authentification de l’utilisateur ;
  • création et gestion du compte utilisateur ;
  • sécurisation de l’accès à l’application.

Les Données issues de Google :

  • ne sont ni revendues, ni utilisées à des fins publicitaires ;
  • ne sont partagées avec aucun tiers, en dehors des prestataires techniques strictement nécessaires à l’hébergement et à la sécurité du service.

8.2 Connexion et synchronisation via Microsoft Azure Active Directory

Dans le cadre du connecteur Microsoft Azure Active Directory, WEYTOP peut accéder aux Données suivantes :

  • nom ;
  • prénom ;
  • adresse e-mail professionnelle ;
  • groupes ou rôles (si activés par le Responsable de Traitement).

Finalités du traitement :

  • gestion de l’authentification et des accès utilisateurs ;
  • application des règles de sécurité et de gestion des droits ;
  • synchronisation des comptes utilisateurs du Responsable de Traitement.

Aucune donnée issue d'Azure Active Directory n'est utilisée à d'autres fins.

8.3 Connexion via un compte LinkedIn

Lors de l'inscription ou de la connexion via un compte LinkedIn, WEYTOP accède uniquement aux Données suivantes :

  • nom ;
  • prénom ;
  • adresse e-mail.

Aucune autre donnée issue du compte LinkedIn (contacts, publications, réseau professionnel ou autres données LinkedIn) n'est collectée ou consultée.

Finalités du traitement :

  • authentification de l'utilisateur ;
  • création et gestion du compte utilisateur ;
  • sécurisation de l'accès à l'application.

Les Données issues de LinkedIn :

  • ne sont ni revendues, ni utilisées à des fins publicitaires ;
  • ne sont partagées avec aucun tiers, en dehors des prestataires techniques strictement nécessaires à l'hébergement et à la sécurité du service.

8.4 Synchronisation via Google Workspace Directory

Dans le cadre de l'intégration Google Workspace, et uniquement lorsque cette fonctionnalité est activée par le Responsable de Traitement, WEYTOP peut accéder aux Données suivantes via l'API Google Directory :

  • liste des groupes de l'organisation ;
  • appartenance aux groupes des utilisateurs.

Cet accès est en lecture seule et ne permet aucune modification des données dans Google Workspace.

Finalités du traitement :

  • synchronisation automatique des groupes d'utilisateurs ;
  • application des règles d'accès et permissions basées sur les groupes.

Un jeton d'actualisation (refresh token) est stocké de manière sécurisée pour permettre la synchronisation continue. Ce jeton peut être révoqué à tout moment par le Responsable de Traitement.

9. Données techniques collectées automatiquement

Dans le cadre du fonctionnement de l'application, WEYTOP collecte automatiquement certaines données techniques :

Données de session :

  • adresse IP ;
  • agent utilisateur (informations sur le navigateur et le système d'exploitation) ;
  • horodatage de la dernière activité.

Journaux d'activité :

  • actions réalisées dans l'application (création, modification, suppression de ressources) ;
  • identifiant de l'utilisateur à l'origine de l'action ;
  • horodatage de l'action.

Finalités du traitement :

  • sécurisation de l'application et détection des accès non autorisés ;
  • analyse et résolution des incidents techniques ;
  • audit et traçabilité des actions.

Conservation : les journaux d'activité sont automatiquement supprimés après deux (2) ans.

10. Sécurité des Données

WEYTOP met en oeuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité des Données, incluant notamment :

  • contrôle strict des accès ;
  • chiffrement des données sensibles ;
  • journalisation et surveillance des accès ;
  • isolation des environnements.

11. Conservation des Données

Les durées de conservation varient selon la nature des Données :

Type de données Durée de conservation
Données de compte utilisateur Durée de la relation contractuelle + 2 ans après suppression du compte
Journaux d'activité et d'audit 2 ans à compter de la collecte
Données de session (IP, user agent) Suppression automatique après expiration de la session (120 minutes d'inactivité)
Jetons d'actualisation des connecteurs de groupe (refresh tokens) Jusqu'à suppression du connecteur par le Responsable de Traitement
Données de facturation 10 ans (obligation légale comptable)

Les comptes utilisateurs inactifs depuis plus de deux (2) ans sont automatiquement supprimés. Des notifications sont envoyées à l'Utilisateur 60 jours, 30 jours et 7 jours avant la suppression afin de lui permettre de réactiver son compte.

À l'issue de ces durées, les Données sont :

  • supprimées de manière sécurisée ; ou
  • restituées au Responsable de Traitement sur demande préalable.

12. Suppression des Données et droits des personnes

Les Personnes Concernées disposent des droits suivants : accès, rectification, effacement, opposition, limitation et portabilité.

Ces droits peuvent être exercés :

  • via les fonctionnalités de l’application ;
  • ou par contact à l’adresse indiquée dans les mentions légales.

Toute demande est traitée dans les délais légaux.

13. Violation de Données

En cas de Violation de Données à caractère personnel, WEYTOP notifie le Responsable de Traitement dans les meilleurs délais et lui apporte toute l'assistance nécessaire afin de lui permettre de satisfaire à ses obligations légales.

14. Audit et conformité

WEYTOP met à disposition du Responsable de Traitement les informations nécessaires pour démontrer sa conformité aux Lois sur la Protection des Données et accepte, dans une limite raisonnable, la réalisation d'audits.

15. Entrée en vigueur et mise à jour

La présente Politique peut être modifiée à tout moment afin de refléter les évolutions légales, réglementaires ou techniques.
La version applicable est celle publiée sur l’application à la date d’utilisation du service.