Confidentialité

Dans le cadre de son activité d’éditeur de logiciel en mode SaaS, SalesPath est amenée à traiter certaines données à caractère personnel (i) en qualité de responsable de traitement pour ses besoins internes et (ii) en qualité de sous-traitant pour le compte de ses clients.

Ces traitement sont opérés conformément aux dispositions du Règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après désigné le «GDPR»), de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après désignée la « Loi n° 78-17») ainsi qu’aux stipulations de la présente Politique de Confidentialité de SalesPath (ci-après désignée la « Politique de Confidentialité »).

La Politique de Confidentialité a pour but de détailler l’origine et l’utilisation des données à caractère personnel collectées et traitées par SalesPath ainsi que les mesures qu’elle met en œuvre afin de protéger au mieux lesdites données.

Article 1 - Périmètre de la présente politique

La société SalesPath,société par actions simplifiée au capital de 1.309,24 euros, dont le siège social est sis 22 Boulevard Maillot, 92200 Neuilly-Sur-Seine France, immatriculée au RCS de Nanterre sous le numéro 903 162 584, est amenée à collecter et traiter des données à caractère personnel dans le cadre de la mise à disposition de la solution SalesPath (ci-après désignée la « Solution»), qui lui sont transmises par :

les sociétés utilisant l’application SalesPath (ci-après désigné le(s) « Client(s) ») ;

les sociétés utilisant l’application SalesPath (ci-après désigné le(s) « Client(s) ») ;
leurs préposés (ci-après désignés les« Utilisateurs Autorisés ») ; et
leurs préposés (ci-après désignés les « Utilisateurs Autorisés ») ; et

Article 2 - Traitements opérés par SalesPath

2.1. Traitements opérés par SalesPath concernant les Clients

2.1.1. Base légale des traitements

Afin d’utiliser la Solution, les Clients ont soit (i) conclu un contrat avec SalesPath qui sert de base légale à la collecte et au traitement des données à caractère personnel, soit (ii) été autorisé par SalesPath à utiliser la solution dans le cadre d’une démonstration, le consentement constitue à ce titre la base légale à la collecte et au traitement des données à caractère personnel.

SalesPath est autorisée à traiter pour le compte de ses Clients des données à caractère personnel nécessaires pour fournir l’accès à la Solution.

Sauf consentement des personnes concernées recueilli dans les conditions prévues conformément aux dispositions en vigueur, ces opérations ne doivent pas conduire à l’établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes).

En toute hypothèse, SalesPath s’engage à informer préalablement le Client de tout autre traitement envisagé et de garantir le respect de la réglementation en vigueur. Notamment, le Client est tenu de réaliser si nécessaire une analyse d’impact des traitements envisagés sur la protection des données dans les conditions prévues à l’article 35 du règlement européen relatif à la protection des données personnelles.

2.1.2. Description des traitements

Opérations de Traitement : Collecte ; enregistrement dans la base de données CRM SalesPath, opérations marketing et de prospection, opérations de suivi client
Finalité(s) du ou des Traitement(s) : Suivi de l’exécution du contrat (p. ex. fourniture des services, suivi comptable)
Catégorie(s) de Personnes concernées : Préposés des Clients de SalesPath en charge de la conclusion et du suivi du contrat (p. ex. service achat, service comptable, service commercial).
Catégorie(s) de Données personnelles traitées : Données d’identification (p.ex. nom, prénom, adresse mail), informations d’ordre économique et financier, vie professionnelle, données de connexion.
Catégories de Destinataires des Données : SalesPath
Catégories de personnel ayant accès aux Données Personnelles (p. ex. personnel de sécurité, opérationnels, juristes) : Équipes technique et commerciale SalesPath

2.2. Traitements opérés par SalesPath pour la gestion de l’activité des Utilisateurs Autorisés

2.2.1. Base légale des traitements

Afin d’utiliser la Solution, les Clients ont conclu un contrat avec SalesPath au sein duquel ils s’engagent à ce que les Utilisateurs Autorisés s’y conforment.

Ce contrat sert de base légale à la collecte et au traitement des données à caractère personnel.

SalesPath est autorisée à traiter pour le compte des Utilisateurs Autorisés des données à caractère personnel nécessaires pour leur fournir l’accès à la Solution.

2.2.2. Description des traitements

Opérations de Traitement : Collecte ; enregistrement dans la base de données CRM SalesPath, enregistrement dans la base de données SalesPath, opérations marketing, de prospection et de suivi client. Analyse des données d’utilisation de SalesPath
Finalité(s) du ou des Traitement(s) : Opération de la plateforme par les Utilisateurs Autorisés ; Assistance à la gestion commerciale.
Catégorie(s) de Personnes concernées : Les Utilisateurs Autorisés par les Clients de SalesPath.
Catégorie(s) de Données personnelles traitées : Données d’identification (p.ex. nom, prénom, adresse mail), informations d’ordre économique et financier, vie professionnelle, données de connexion et d’utilisation de la solution SalesPath
Catégories de Destinataires des Données : SalesPath.
Catégories de personnel ayant accès aux Données Personnelles (p. ex. personnel de sécurité, opérationnels, juristes): Équipes technique et commerciale SalesPath

2.3. Traitements opérés par SalesPath pour les opérations liées aux Clients Finaux

2.3.1. Base légale des traitements

SalesPath intervient en qualité de sous-traitant pour tous les traitements de données à caractère personnel concernant les Clients Finaux.

Afin d’être en mesure de fournir la Solution aux Clients, SalesPath est autorisée à traiter pour leur compte des données à caractère personnel des Clients Finaux.

S’agissant du traitement opéré sur les données des Clients Finaux par le Client, il appartient à ce dernier d’en déterminer la base légale.

2.3.2. Description des traitements

Opérations de Traitement : Collecte ; enregistrement dans la base de données SalesPath et dans le CRM du Client, opération marketing et suivi client.
‍Finalité(s) du ou des Traitement(s) : Assistance à la gestion commerciale et à la centralisation des scripts commerciaux, suivi de la relation clients, opérations de prospection.
Catégorie(s) de Personnes concernées : Les Clients Finaux.
Catégorie(s) de Données personnelles traitées : Données d’identification (p.ex. nom, prénom, adresse mail), informations d’ordre économique et financier, vie professionnelle
Catégories de Destinataires des Données : SalesPath.
Catégories de personnel ayant accès aux Données Personnelles (p. ex. personnel de sécurité, opérationnels, juristes):Équipes technique et commerciale SalesPath

Article 3 - Durée de Conservation des données

3.1. Durée de conservation des données communiquées par les Clients et les Utilisateurs Autorisés

Les données à caractère personnel communiquées par le Client ayant conclu un contrat avec SalesPath, ainsi que celles des Utilisateurs Autorisées, seront conservées pendant la durée du Contrat conclu entre le Client et SalesPath.

Les données à caractère personnel communiquées par le Client n’ayant pas conclu de contrat avec SalesPath et dont le traitement se fonde sur le consentement, seront conservées pour une durée qui ne saurait excéder trois (3) ans à compter du dernier contact émanant dudit Client.

Certaines données pourront être archivées au-delà des durées prévues (i) en cas de procédure contentieuse afin de permettre d’établir la réalité des faits litigieux ; et/ou (ii) pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales dans le seul but de permettre, en tant que de besoin, la communication de ces données à l’autorité judiciaire.

L’archivage implique que ces données ne soient plus consultables en ligne mais soient extraites et conservées sur un support autonome et sécurisé.

3.2. Durée de conservation des données relatives aux Clients Finaux

Les données à caractère personnel des Clients Finaux sont conservées par SalesPath pendant la durée du Contrat conclu entre le Client et SalesPath augmentée de la durée nécessaire à leur restitution au Client le cas échéant.

Article 4 - Engagements de SalesPath en qualité de responsable de traitement

Conformément à l’article 24 du RGPD, SalesPath s’engage à mettre en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD.

Article 5 - Engagements de SalesPath en qualité de responsable de sous-traitant

Conformément aux articles 28 et 32 du RGPD, SalesPath s’engage à :

prendre et à maintenir toutes mesures utiles, et notamment les mesures techniques et d’organisation appropriées, pour préserver la sécurité et la confidentialité des données personnelles qui lui sont confiées pour la fourniture de l’accès à la Solution, afin d’empêcher qu’elles ne soient déformées, altérées, endommagées, diffusées ou que des personnes non autorisées y aient accès ;
veiller à ce que les personnes autorisées à traiter les données à caractère personnel pour son compte, en plus d’avoir reçu la formation nécessaire en matière de protection des données à caractère personnel, respectent la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
respecter les dispositions légales applicables et relatives aux conditions de traitement et/ou à la destination des données qui lui ont été communiquées ou auxquelles il aura accès dans le cadre de la fourniture de l’accès à la Solution ;
n’agir que sur la seule instruction documentée du Client pour la réalisation du traitement des données personnelles concernées ;
exploiter les informations nominatives collectées ou auxquelles il aura pu avoir accès pour les seuls besoins de la fourniture de la Solution aux Clients, aux Utilisateurs Autorisés et aux Clients Finaux ;
ne pas exploiter pour des finalités contraires au Contrat les informations nominatives collectées ou auxquelles il aura pu avoir accès dans le cadre de l’exécution du Contrat conformément aux dispositions légales applicables, et à ne les transférer qu’à un tiers indiqué ou autorisé par le Client ;
ne pas revendre ou céder de données qui ont un caractère strictement confidentiel ;
aider les Clients, les Utilisateurs Autorisés et les Clients Finaux, dans la mesure du possible, par la mise en place de mesures techniques et organisationnelles appropriées, et s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits d’accès, de rectification, d’effacement, d’opposition, de limitation et à la portabilité des données ;
aider le Client, dans la mesure du possible et compte tenu des informations qui lui ont été communiquées par ce dernier, à respecter son obligation de : (a) notifier à l’autorité de contrôle une violation de données à caractère personnel ; (b) communiquer à la personne concernée une violation de données à caractère personnel ; (c) réaliser une étude d’impact relative à la protection des données.

Dans le cadre du traitement de données à caractère personnel, SalesPath pourra être amenée à faire intervenir des sous-traitants ultérieurs.

Dans ce cas, SalesPath s’assure du respect par le sous-traitant de ses obligations en vertu du RGPD et qu’il présente des garanties suffisantes quant à la mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées.

SalesPath s’engage à signer, avec tous ses sous-traitants ultérieurs, un contrat écrit leur imposant des obligations équivalentes aux siennes en matière de protection de données à caractère personnel conformément aux dispositions de l’article 28 du RGPD.

La liste des sous-traitants de second-rang à ce jour est la suivante :

AWS [serveurs en France]
Auth0 [serveurs dans l'Union européenne]
FullStory
Hubspot

Article 6 - Droits des Clients et des Utilisateurs Autorisés

Les Clients et les Utilisateurs Autorisés disposent des droits suivants :

Un droit d'accès: ce droit permet aux Clients et aux Utilisateurs Autorisés d’obtenir des informations concernant le traitement de leurs données à caractère personnel ainsi qu’une copie desdites données ;
Un droit de rectification: ce droit permet aux Clients et aux Utilisateurs Autorisés de demander que les données à caractère personnel qu’ils estiment inexactes ou incomplètes soient modifiées en conséquence ;
Un droit d’opposition : ce droit permet aux Clients et aux Utilisateurs Autorisés de s’opposer au traitement de leurs données à caractère personnel pour des motifs liés à sa situation particulière. Le droit d’opposition est absolu s’agissant du traitement mis en œuvre à des fins de prospection commerciale ;
Un droit de limitation: ce droit permet aux Clients et aux Utilisateurs Autorisés de suspendre le traitement de données à caractère personnel dont ils font l’objet tout en conservant les données traitées ;
Un droit à la portabilité : ce droit permet aux Clients et aux Utilisateurs Autorisés d'obtenir que les données à caractère personnel qu’ils ont fournies leur soient restituées ou, lorsque cela est techniquement possible, soient transférées à un tiers. Les informations demandées par les Clients et les Utilisateurs Autorisés leur seront fournies sous une forme électronique, sauf demande expresse contraire ;
Du droit de définir des directives relatives au sort de leurs données après leur décès ;
Un droit de suppression : ce droit permet aux Clients et aux Utilisateurs Autorisés d’obtenir la suppression de leurs données à caractère personnel. S’agissant du droit à la suppression des données personnelles des Clients et des Utilisateurs Autorisés, celui-ci ne sera pas applicable dans les cas où le traitement est mis en œuvre pour répondre à une obligation légale.

Les Clients et les Utilisateurs Autorisés sont informés qu’ils ont le droit d’introduire, à tout moment, une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), s’ils considèrent que les traitements objets de la Politique de Confidentialité, constituent une violation de la législation applicable en matière de protection des données à caractère personnel.

Article 7 - Utilisation statistique des données anonymes

Dans le cadre de son activité, SalesPath collecte, traite et stocke des données statistiques relatives à l’utilisation de la Solution et aux activités des Utilisateurs Autorisés.

Ces données d’utilisation, qui seront conservées au-delà des périodes définies ci-dessus et peuvent être transmises à des tiers, resteront dans tous les cas anonymes et ne permettront pas d’identifier, même indirectement, les Utilisateurs Autorisés ou les Clients Finaux.

Article 8 - Modification de la Politique de Confidentialité

SalesPath se réserve le droit d’apporter, à tout moment, à la Politique de Confidentialité toutes les modifications qu’elle jugera nécessaires et utiles.

En cas de modification de la Politique de Confidentialité, SalesPath s’engage à faire accepter à nouveau aux Clients et aux Utilisateurs Autorisés la nouvelle politique de confidentialité au moment où ils accèdent à nouveau à la Solution.