Politique de gestion des données à caractère personnel

Version de Février 2020.
La présente Politique de gestion est éditée par la Société iilyo immatriculée au Registre du Commerce et des Sociétés de LYON sous le numéro 797 605 359, dont le siège social se situe 33 Place Bellecour 69002 LYON (ci-après « iilyo »).
Elle a pour objet d’informer les utilisateurs du Site et des services iilyo et Hopla.cloud des traitements de données à caractère personnel mis en oeuvre par iilyo ainsi que de leurs droits en tant que personnes concernées par ces traitements.
Dans ce cadre iilyo agit en qualité de Responsable de traitement ou dans certains cas, de Sous-traitant de données à caractère personnel.
Notre politique de gestion des données à caractère personnel s’inscrit dans le cadre légal et réglementaire applicable à la protection de telles données, notamment les dispositions du Règlement UE 2016/679 sur la protection des données du 27 avril 2016 (RGPD) et celles de la loi n°78-17 du 6 janvier 1978 modifiée.
Elle est révisée régulièrement pour s’adapter aux évolutions légales et réglementaires en matière de protection des données à caractère personnel et pour intégrer les traitements mis en place par nos soins.

Quelques définitions

  • Responsable de traitement : la personne morale qui détermine les finalités et les moyens du traitement.
  • Donnée(s) à Caractère Personnel ou Donnée(s) : toute information permettant d’identifier une personne physique identifiée, directement ou indirectement (ex : nom, prénom, adresse courriel…)
  • Traitement de Données à Caractère Personnel ou Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqué(s) à des Données ou des ensembles de Données à Caractère Personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification…
  • Sous-traitant de Données à caractère personnel : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

iilyo en qualité de responsable de traitement

Lorsque iilyo met en oeuvre les traitements de données nécessaires à la gestion de ses activités, elle agit en qualité de responsable de traitement.

Pourquoi nous collectons des données (finalités) ?

Nous collectons les données nécessaires à notre activité. Elles nous permettent de répondre aux demandes de nos clients, de leur fournir les prestations demandées et de gérer notre activité au quotidien. Les Traitements mis en oeuvre concernent principalement nos clients, nos collaborateurs et nos partenaires.

Seules les données nécessaires et pertinentes au regard des finalités du traitement sont collectées pour :

  • Répondre à une demande de contact de votre part : iilyo collecte notamment des données via le site Hoplacloud et iilyo pour vous adresser, à votre demande, notre Newsletter ou répondre à une demande spécifique.
  • Répondre à une commande et gérer la relation client : iilyo traite vos données pour gérer vos commandes et y répondre, établir la facturation afférente, suivre les commandes, gérer notre relation contractuelle.
  • L’ouverture et l’animation de votre compte client : iilyo collecte et traite les données nécessaires pour vous permettre de créer et d’utiliser votre compte, de gérer vos commandes et d’utiliser les fonctionnalités de l’interface client.
  • La gestion de vos paiements en ligne : les informations de paiement nécessaires sont traitées pour vous permettre de payer les prestations commandées en ligne avec la passerelle de paiement en carte de crédit, et SEPA, opéré par la société Stripe (voir leur politique de confidentialité).
  • Lutter contre la fraude : dans certains cas, iilyo peut être amenée à réaliser une vérification de votre identité
  • Nos actions de prospection commerciale : pour vous adresser des informations sur nos nouveaux produits, sauf opposition de votre part.
  • Pour suivre votre activité sur le Site et faciliter votre navigation.

Quelles données sont concernées ?

Selon les finalités : les données collectées peuvent consister en :

  • Données d’identification : Nom(s), prénom(s), adresse, fonction dans l’entreprise, coordonnées, identifiant pour accéder aux services en ligne.
  • Informations d’ordre économique et financier : relatives aux prestations achetées, à la facturation, aux moyens de paiement utilisés.
  • Données de connexion : (ex. adresses IP, logs, identifiants des terminaux, identifiants de connexion, informations d’horodatage, etc.)

Bases légales applicables aux traitements

La base légale d’un traitement autorise légalement sa mise en oeuvre. Parmi les six bases légales prévues au sein du Règlement UE 2016/679 (RGPD) les traitements mis en oeuvre par iilyo se fondent selon le cas sur :

  • Le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec vous (art. 6,1, b du Règlement (UE) 2016/679)
  • Ses obligations légales et réglementaires : le traitement est imposé par des textes légaux (art. 6,1, c du Règlement (UE) 2016/679)
  • Sur son intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes d’iilyo, dans le strict respect des droits et intérêts des personnes dont les données sont traitées. (art. 6,1, f du Règlement (UE) 2016/679)

Certains Traitements peuvent également être réalisés sur la base du consentement exprès de la personne concernée. (art. 6,1, a du Règlement (UE) 2016/679)

Durées de conservation

Les données sont conservées pendant la durée nécessaire aux finalités poursuivies comme indiqué ci-dessous, sous réserve de l’exercice par la personne concernée de ses droits d’opposition et d’effacement ou de l’application d’une durée de conservation plus longue s’imposant à iilyo en vertu d’une obligation légale ou réglementaire.

Destinataires des données

Les Données sont destinées aux personnels de notre société habilités à les traiter dans le cadre de leurs fonctions.
Elles peuvent être transmises à des tiers, prestataires et sous-traitants intervenant pour le compte d’iilyo dans le cadre de leur mission. Dans ce cadre les tiers n’ont qu’un accès limité aux données et sont contractuellement tenus à une obligation stricte de confidentialité et de sécurité vis-à-vis des Données transmises.
Sous réserve du consentement de la personne concernée, les Données peuvent également être transmises aux partenaires commerciaux d’iilyo afin de vous adresser par courriel leurs offres.
Sous réserve d’une obligation légale ou de l’acceptation expresse de la personne concernée, iilyo ne cède, ne loue ou ne transmet aucune donnée à caractère personnel en dehors des cas susvisés.
Seule l’hypothèse de la transmission de la société iilyo et de ses droits, par quelque moyen que ce soit, permettrait le transfert des dites Données à son successeur qui serait à son tour tenu de la même obligation de conservation et de modification des données vis à vis de la personne concernée.

Tableau synthétique

Traitements concernés Finalité(s) Base légale Durée de conservation
Newsletter/contact Envoi de la newsletter Exécution du contrat Jusqu’à la désinscription de la personne concernée ou 3 ans après le dernier contact actif
Prospection commerciale Suivi commercial pré ou post relation Intérêt légitime 3 ans après la fin des relations ou le dernier contact actif de la personne concernée
Gestion clients Gestion et suivi des commandes Exécution du contrat Durée des relations commerciales puis cinq ans à compter de la fin de celle-ci
Comptabilité Facturation et suivi comptable Obligation légale 10 ans à compter de la clôture de l’exercice concerné
Compte utilisateurs Ouverture et animation du compte utilisateur Contrat 5 ans en base active. Les données sont ensuite archivées pour une durée de 5 ans
Cookies Suivi de l’audience du site Intérêt légitime 13 mois à compter du dépôt

Sécurité des données

iilyo met en oeuvre les mesures organisationnelles techniques logicielles et physiques appropriées pour préserver et garantir la sécurité, l’intégrité et la confidentialité des Données, conformément aux dispositions de la loi n°78-17 du 6 janvier 1978 modifiée, du Règlement UE 2016/679 sur la protection des données du 27 avril 2016.

Information et droits des personnes concernées

Les personnes concernées reçoivent une information circonstanciée lors de chaque collecte de Données. Cette information porte notamment sur l’identité du Responsable de traitement, la finalité du Traitement mis en oeuvre, le caractère obligatoire ou facultatif des réponses et les droits dont elles disposent.
Lorsqu’il est nécessaire, le consentement de la personne concernée est expressément demandé.
Les personnes concernées disposent d’un droit d’accès aux Données les concernant et, sous réserve des conditions prévues par les dispositions applicables, d’un droit de rectification, d’opposition, de limitation de l’utilisation et de portabilité de leurs Données.
Elles disposent également du droit de définir du sort de leurs Données après leur décès et du droit de retirer leur consentement à tout moment lorsque le Traitement se fonde sur celui-ci.

Exercer vos droits

Pour exercer vos droits vous pouvez nous contacter à l’adresse suivante : privacy [@] hopla.cloud
Les personnes concernées disposent également du droit d’introduire une réclamation auprès d’une autorité de contrôle notamment auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) (https://www.cnil.fr/fr).

iilyo en qualité de sous-traitant

C’est certainement en cette qualité que vos attentes envers iilyo sont les plus importantes.

iilyo agit en qualité de « sous-traitant » lorsqu’il traite des données à caractère personnel pour le compte d’un Responsable de traitement.
C’est typiquement le cas lorsque vous utilisez les services d’iilyo et stockez des données à caractère personnel sur une infrastructure iilyo.
Dans ce cadre iilyo ne traite les données à caractère personnel que sur instruction documentée du Responsable du traitement conformément aux dispositions de l’article 28 du Règlement (UE) 2016/679 du 27 avril 2016.

Les engagements de iilyo et hopla.cloud en qualité de sous-traitant

En qualité de sous-traitant, iilyo s’engage notamment à mettre en oeuvre les actions suivantes :

  • Traiter les données à caractère personnel aux seules fins de la bonne exécution des services : iilyo ne traitera jamais vos informations pour d’autres finalité(s) que celles qui fait/font l’objet de la sous-traitance en vue de la réalisation des services et sur instruction documentée du Responsable de traitement.
  • Garantir la confidentialité des Données à caractère personnel traitées, notamment veiller à ce que les personnes autorisées à traiter les Données confiées s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • Vous informer de tout recours à des sous-traitants qui pourraient traiter vos données à caractère personnel : à ce jour, aucune prestation impliquant un accès aux contenus stockés par vos soins dans le cadre des services n’est sous-traitée par iilyo.
  • Ne pas transférer vos données hors UE sans votre autorisation préalable et dans un cadre sécurisé conformément aux exigences légales et réglementaires applicables c’est-à-dire soit lorsqu’il se fonde sur une décision d’adéquation assurant un niveau de protection adéquat dans le pays tiers, soit lorsqu’il est contractuellement encadré par des garanties appropriées au sens de l’article 46 du Règlement 2016/679.
  • Mettre à votre disposition toutes les informations nécessaires pour démontrer le respect par Iilyo de ses obligations
  • Mettre en oeuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation à nos services.
    • Vous notifier dans les meilleurs délais en cas de violation de données.
  • Vous assister dans le respect vos obligations réglementaires notamment en vous fournissant une documentation adéquate de nos services.

Ces engagements sont concrètement retranscrits au travers des Conditions générales de vente (CGV) d’iilyo et au sein de l’annexe dédiée à la sous-traitance des données qui définit les droits et obligations de chaque partie.

Propriété des données stockées sur notre infrastructure

Vos données hébergées sur notre infrastructure sont votre bien et vous en êtes le seul propriétaire.
iilyo n’y accède et ne les utilise que lorsque cela est nécessaire dans le cadre de l’exécution des services et dans la limite de ses contraintes techniques.
iilyo s’interdit toute revente de données, de même que toute utilisation à des fins personnelles (telles des activités de datamining, machine learning, de profilage ou de marketing direct).
Au terme de la prestation de services relatifs au traitement, et selon le choix du responsable du traitement, iilyo supprimera toutes les données à caractère personnel ou les renvoie au responsable du traitement détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel.

Accès aux données personnelles stockées sur notre infrastructure

iilyo accède aux données uniquement dans deux situations :

  • Lors des taches de supports techniques, les accès aux données des clients restent encadrés grâce à des habilitations spécifiques et des mesures de contrôle et de sécurité particulières ;
  • Afin de répondre aux obligations légales dans le cadre des demandes judiciaires et/ou administratives.

Ces demandes sont strictement encadrées.

  • Accès dans le cadre du support :

Lorsque le client contacte le support iilyo, selon l’objet de l’assistance, deux catégories de données peuvent faire l’objet d’un accès. D’une part, afin de traiter au mieux la requête du client, le support prend connaissance des informations fournies par ce dernier lors de la création de son compte iilyo (nom, prénom, numéro de téléphone, adresse e-mail, etc.).

D’autre part et uniquement à la demande expresse du client, et sous réserve des contraintes techniques propres à chaque service, le support peut avoir accès aux données stockées par celui-ci sur les services iilyo, dans le but d’identifier l’origine du problème rencontré et, de le résoudre.

  • Accès dans le cadre d’une demande des autorités judiciaires et/ou administratives :

Afin d’agir en conformité avec la réglementation en vigueur, iilyo est tenu de répondre aux demandes des autorités judiciaires et/ou administratives. Les demandes d’accès étant soumises à un régime légal strict, iilyo ne les autoriseras qu’après s’être assuré de la validité et du bien-fondé de la requête. De plus, dès lors que la requête ou la loi ne l’interdit pas, Iilyo s’engage à prévenir le client de la demande.

Localisation des données

L’ensemble des données stockées par iilyo et hopla.cloud sont hébergées en France dans deux centres de données (datacenter) répondant aux normes TierIII, ISO 27001 et AFPAD :

  • à proximité de Lyon pour la partie serveur, stockage et connectivité (région OpenStack fr-east-1)
  • a proximité de Strasbourg pour la réplication des données Acronis

Pour en savoir plus sur la localisation des données, et sur notre infrastructure, une page est dédiée à cela sur notre site internet.