*JURIDIQUE – Politique de confidentialité

Sur quoi porte cette politique ?

La présente politique vous informe des caractéristiques de ces traitements et de vos droits sur les données personnelles vous concernant.

Cette politique de confidentialité est rédigée conformément à la loi n°78-17 du 6 janvier 1978 (dite « Loi informatique et libertés » ou « LIL ») et au Règlement Général sur la protection des Données Personnelles (« RGDP ») n°2016/679.

 

Qui est le responsable de cette politique ?

Le responsable de traitement est Joris-Iyane Sidibé, exerçant en entreprise individuelle.

Les coordonnées du responsable de traitement sont les suivantes : Domaine de Barthe, Maison 1, 11290 Arzens.

Le responsable est joignable au numéro suivant : +33 767311292

L’adresse électronique de contact est la suivante : contact@suivi-sian.fr

 

A qui s’adresse cette politique ?

La présente politique s’adresse aux usagers du site internet www.suivi-sian.fr, c’est-à-dire aux internautes qui naviguent sur le site. Elle concerne également :

– les personnes à qui nous avons confié des prestations techniques (prestataire d’hébergement, maintenance, sécurité du site) 

– les personnes qui nous contactent grâce aux formulaires de contact du site

– les personnes qui sont citées sur le site en tant que partenaires ou collaborateurs

– les personnes qui publient sur notre site des avis et des commentaires 

– les clients qui réservent une consultation, un suivi personnalisé, ou un séminaire auprès de Joris-Iyane Sidibé

– les personnes pouvant être intéressées par les activités proposées par Joris-Iyane Sidibé

 

Finalités (à quoi servent les données collectées) 

Les finalités sont les suivantes :

– le maintien en condition opérationnelle du site internet (maintenance, hébergement, sécurité)

– l’administration du site internet

– la gestion des demandes de renseignements par le formulaire de contact du site

– la gestion des avis et commentaires publiés sur le site

– le référencement des personnes citées sur le site (partenaires et collaborateurs)

– la gestion des prises de rendez-vous

– la gestion des comptes en ligne

– l’exécution du contrat de prestations et la gestion de la relation client (préparation et déroulement des séances de consultations, suivi des paiements, comptabilité, etc)

– la fidélisation client et la prospection commerciale (ex : envoi d’une newsletter, animation d’ateliers, de conférences, de séminaires, etc)

– la gestion des droits des personnes (droit d’opposition, d’accès de rectification, etc)

– la gestion des formalités juridiques (envoi des conditions générales, politique de protection des données, consentement à la collecte de données de santé)

 

Base légale des traitements : ce qui nous donne le droit de traiter les données 

Les bases légales des traitements sont les suivantes :

– pour le maintien en condition opérationnelle du site (maintenance, hébergement, sécurité) et son administration, la base légale est l’intérêt légitime

– pour la gestion des demandes de renseignements par les formulaires de contact, la base légale est l’intérêt légitime (permettre la communication en ligne) 

– pour la gestion des avis et commentaires publiés sur le site, la base légale est le consentement des personnes concernées

– pour le référencement des personnes citées sur le site (partenaires et collaborateurs), la base légale est le consentement de ces personnes

– pour la gestion des prises de rendez-vous, la base légale est l’intérêt légitime ou l’exécution de mesures précontractuelles

–  pour la gestion des comptes en ligne, la base légale est la conclusion du contrat client avec le responsable de traitement

– pour l’exécution du contrat de prestations et la gestion de la relation client, la base légale est le contrat conclu avec le client

– pour le traitement de données de santé éventuelle : la base légale est le consentement du client

– pour les actions de fidélisation client et de prospection commerciale, la base légale est le consentement de la personne

– pour la gestion des formalités juridiques, la base légale est l’intérêt légitime

– pour la gestion des droits des personnes, la base légale est une obligation légale

 

Durée de conservation des données

Les données faisant l’objet d’un traitement sont conservées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées (principe de minimisation des traitements).

Les durées maximums de conservation sont les suivantes :

– pour le maintien en condition opérationnelle du site (maintenance, hébergement, sécurité) et son administration, certaines données peuvent être conservées : les adresses IP sont conservées 12 mois maximum et les données de connexion 1 mois maximum

– pour l’administration du site internet : les données relatives aux identifiants des utilisateurs sont conservées tant que ces personnes sont prestataires du responsable de traitement

– pour la gestion des demandes de renseignements par les formulaires de contact : 3 ans à compter de la demande

– pour la gestion des avis et commentaires publiés sur le site : 5 ans à compter de la publication

– pour le référencement des personnes citées sur le site (partenaires et collaborateurs) : 5 ans à compter de la publication

– pour la gestion des prises de rendez-vous, les données sont conservées pendant 5 ans

– pour la gestion des comptes en ligne : tant que le compte est actif, puis pendant 5 ans 

– pour l’exécution du contrat de prestations et la gestion de la relation client, les données client sont conservées pendant 5 ans à compter de la fin de la relation contractuelle

– Les données relatives aux actions de fidélisation client et de prospection commerciale sont conservées pendant 3 ans. A l’issue de ce délai, un consentement de la personne est de nouveau nécessaire

– les données relatives aux formalités juridiques et aux droits des personnes sont conservées pendant 5 ans

Données traitées

Le responsable de traitement traite les catégories de données suivantes :

– Données relatives à l’identité (nom, prénom, âge, adresse postale, téléphone, adresse électronique)

– Données relatives à la situation personnelle et familiale pour les clients (hygiène de vie, habitudes alimentaires, etc)

– Données relatives à la situation professionnelle (profession, formations, diplômes, etc)

– Données d’ordre économique pour les clients (données bancaires)

– Données de connexion (adresse IP, logs, identifiants des terminaux, identifiants de connexion, informations d’horodatée, etc)

– Données de navigation, mesures d’audience (Matomo)

– Données de santé des clients dans certains cas (antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc)

– Données sur la vie sexuelle des clients dans certains cas

– Commentaires éventuels indiqués lors d’une réservation ou sur la page de contact

– Pour les avis et commentaires, il est précisé que le site internet publie uniquement le prénom et la première lettre du nom de famille de la personne.

 

Caractère obligatoire ou facultatif du recueil des données 

Les données collectées présentent un caractère obligatoire pour réaliser les finalités de traitement, sauf le nom de l’entreprise et les informations complémentaires qui sont facultatives lors de la réservation d’une consultation sur le site.

 

Sources des données

Les données sont transmises directement par la personne concernée.

Les destinataires des données 

Les données à caractère personnel collectées sont réservées à l’usage du responsable du traitement. Aucune donnée personnelle n’est transférée par le responsable de traitement à des destinataires, sauf lorsque cela est nécessaire :

– Pour l’hébergement du site : O2SWITCH https://www.o2switch.fr/du-rgpd.pdf 

– Pour le paiement des consultations en ligne : Stripe https://stripe.com/fr/privacy 

– Pour l’administration du site : Romain Alphonse et Joëlle Barbaza 

– Pour la gestion des avis : Avis vérifiés : https://www.netreviews.com/fr/politique-de-confidentialite/ 

– Pour les actions de fidélisation client et de prospection commerciale : sendinblue : https://fr.sendinblue.com/legal/privacypolicy/

– Pour les consultations à distance : Kmeet d’Infomaniak : https://www.infomaniak.com/fr/cgv/reglement-general-protection-donnees – https://manager.infomaniak.com/pdfcgu.php/fr_FR/52/dpa.pdf

 

Quelles sont les mesures de sécurité mises en place ?

Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

Le responsable du traitement prend des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée.

 

L’existence ou non d’un transfert des données vers un pays hors Union européenne et garanties associées

Certains sous-traitants du responsable de traitement peuvent réaliser des transferts de données personnelles en dehors de l’Union Européenne, notamment Infomaniak, pour les visioconférences, Stripe, lors du paiement en ligne des consultations, ou encore SendInBlue, pour les actions de fidélisations client et prospection.

Des données personnelles peuvent être stockées et/ou des transferts de données peuvent intervenir en dehors de l’Union Européenne.

Infomaniak : vers la Suisse, ayant fait l’objet d’une décision d’adéquation de la Commission Européenne.

Pour en savoir plus sur les lieux de stockage des données de Stripe, l’Utilisateur peut consulter cette page https://stripe.com/fr/privacy-center/legal#data-transfers

Compte tenu de la législation américaine en matière de sécurité nationale, des transferts de données par Stripe et/ou SendInblue vers les États-Unis à la demande du gouvernement américain ne peuvent être exclus. La Cour de Justice de l’Union Européenne a jugé dans un arrêt du 16/07/20 que la législation américaine n’est pas aussi protectrice des données personnelles et des droits de recours, que la règlementation européenne. 

Le responsable de traitement s’engage à ce que ces transferts soient réalisés :

  • avec des garanties appropriées en application de l’article 46 du RGDP

Stripe et SendInBlue ont décidé de s’appuyer sur un Data Processing Agreement (DPA) et des clauses contractuelles types pour les transferts de données 

Et/ou à défaut

  • dans le respect de l’article 49 du RGPD.
  1. a) la personne a donné son consentement explicite au transfert envisagé de ses données personnelles, après avoir été informé des risques que ce transfert pouvait comporter pour lui en raison de l’absence de décision d’adéquation et de garanties appropriées ;

Et/ou

  1. b) le transfert est nécessaire à l’exécution du contrat entre la personne concernée et le
    responsable du traitement. 

À ce titre, il est précisé que sans les services Stripe, le paiement en ligne ne peut pas être fait.

 

Prise de décision automatisée

Le traitement ne prévoit pas de prise de décision entièrement automatisée.

 

Sort des données à caractère personnel après le décès – Droit d’accès, de rectification, de suppression et de portabilité des données 

La personne concernée par un traitement peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données personnelles après son décès. Ces directives peuvent être générales ou particulières.

La personne concernée par un traitement bénéficie également d’un droit d’accès, d’opposition, de rectification, de suppression et, à certaines conditions, de portabilité de ses données personnelles. La personne concernée a le droit de retirer son consentement à tout moment si le consentement constitue la base légale du traitement.

La demande devra indiquer les nom et prénom, adresse e-mail ou postale, de la personne concernée, et être signée et accompagnée d’un justificatif d’identité en cours de validité.

Elle peut exercer ces droits en s’adressant à : Joris-iyane Sidibé – Domaine de Barthe, Maison 1, 11290 Arzens – contact@suivi-sian.fr

 

Réclamation

La personne concernée par un traitement a le droit d’introduire une réclamation auprès de l’autorité de contrôle (CNIL) : https://www.cnil.fr/fr/webform/adresser-une-plainte