Version à jour au 25 mai 2018

Cette politique a pour objet (1) de vous informer sur la manière dont le Groupe SCR traite vos Données personnelles et, (2) s'agissant des Données personnelles que nous confient nos Clients dans le cadre des Services souscrits, de définir à minima les obligations respectives du Groupe SCR et de ses Clients. Les règles applicables aux cookies sont abordées au (3).

Les termes « Vous », « votre » et « vos » désignent les visiteurs du site https://www.groupescr.fr/ (les « Visiteurs » / le « Site ») ainsi que les clients et prospects ayant souscrit des Services ou étant susceptibles d'être intéressés par nos Services (les « Clients » / « Prospects »).

Les termes « Nous », « notre », « nos » désigne le Groupe SCR.

Les « Services » sont ceux que nous proposons sur notre Site et qui sont précisés, pour chaque Client, dans nos devis.

La « Réglementation Applicable » désigne la loi n°78-17 du 6 janvier 1978 dite loi « Informatique et libertés » dans sa dernière version en vigueur, et le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données (« RGPD »).

Toute terminologie en rapport avec la protection des données personnelles a la signification donnée à l'article 4 du RGPD. Toutefois, à des fins de clarté, nous vous rappelons quelques définitions.

« Données personnelles » désigne les données à caractère personnel au sens de la Réglementation Applicable, soit toute information se rapportant à une personne physique identifiée ou identifiable, tel qu'un nom, numéro d'identification, données de localisation, un identifiant en ligne (adresse IP par exemple).

« Personne concernée » désigne toute personne physique identifiée ou identifiable dont les Données personnelles ont fait l'objet d'un Traitement.

« Responsable de traitement » désigne toute personne qui détermine les moyens et les finalités du Traitement.

« Sous-traitant » désigne toute personne qui traite les Données personnelles pour le compte du Responsable de traitement conformément aux instructions données par celui-ci.

« Traitement » désigne toute opération ou ensemble d'opérations portant sur des données à caractère personnel, quel que soit le procédé utilisé tels que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

« Violation de Données personnelles » : désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles Données.

1. Le traitement de vos données par le Groupe SCR

1.1 Pourquoi et comment traitons-nous Vos Données ?

Nous traitons vos Données personnelles aux fins de vous informer sur nos Services (Visiteurs, Clients et Prospects), d'analyse de fréquentation du Site (Visiteurs), de communication commerciale ou non (Clients et Prospects), et plus généralement de suivi de notre relation contractuelle (Clients). Dans ce cadre, nous sommes « Responsables des Traitements » de vos Données. Ces Traitements ont pour base légale l'intérêt légitime du Groupe SCR à assurer son développement commercial.

1.2 Quelles sont les Données que nous traitons ?

Les Visiteurs n'ont aucune obligation de nous communiquer leurs Données. Néanmoins, lors de vos visites, votre adresse IP peut-être relevée (voir paragraphe 3 relatif aux Cookies).

Si vous nous remplissez un formulaire de contact et/ou nous contactez pour nous exposer votre Projet, nous traiterons essentiellement les Données suivantes : vos noms, prénoms, position/titre, adresse e-mail, et le nom de votre société.

Si vous avez souscrit des Services auprès de nous, nous pouvons traiter en outre des données d'ordre financier pour assurer le règlement de nos factures et suivre leur recouvrement.

1.3 Quels sont les destinataires de ces Données ?

Les personnes habilitées du service commercial et marketing du Groupe SCR, ainsi, que, le cas échéant du service support, sont amenées à traiter vos Données personnelles et n'ont accès qu'aux seules Données qui leurs sont nécessaires dans le cadre de leurs fonctions / missions. Les salariés de notre société ont signé un engagement de confidentialité spécifique.

Nous pouvons également contracter avec des partenaires et sous-traitants fiables qui sont susceptibles d'accéder, héberger et/ou traiter certaines de vos Données personnelles pour notre compte, selon nos instructions et qui garantissent contractuellement la sécurité et la confidentialité de vos Données (tels que des prestataires techniques, cabinets de recrutement…).

Les Données personnelles de nos Clients sont également susceptibles d'être transférées à des tiers habilités soumis à une obligation de confidentialité (auditeurs, consultants, avocats, experts comptables, etc.) dans le cadre de la tenue de sa comptabilité générale, mais également en cas de réorganisation de l'entreprise ou de cession à une autre entité juridique, dans le cadre d'audits réalisés en matière de protection des données personnelles et sécurité, et/ou pour enquêter ou répondre à une plainte ou menace de sécurité. Nous sommes amenés à communiquer des documents (tels que des factures, contrats, devis, e-mails…) contenant vos Données personnelles à nos experts comptables, commissaires aux comptes et nos avocats.

Nous pourrons enfin communiquer vos Données personnelles en réponse à des requêtes formulées par des Cours ou des tribunaux, des organismes gouvernementaux ou chargés de l'application de la loi, ou lorsque cela est nécessaire pour se conformer aux lois applicables, aux injonctions ou décisions de Cours et de tribunaux, ou aux réglementations gouvernementales.

1.4 Pendant combien de temps conservons-nous vos données ?

Nous ne conservons vos Données personnelles que pour une durée nécessaire et proportionnelle à la finalité pour laquelle elles ont été collectées.

Pour la gestion de nos Clients et Prospects, les Données personnelles sont conservées en moyenne, pour une durée maximale de 3 ans à compter du dernier échange que vous avez eu avec notre société et effectué à votre initiative, ou tout autre délai plus long qui s'imposerait à notre société en application de dispositions légales (archivage pendant la durée de prescription légale par exemple, afin de nous permettre d'engager une action / assurer notre défense en cas de litige).

1.5 Quels sont vos droits ?

Conformément aux dispositions de la Règlementation Applicable, vous disposez d'un droit d'accès, de rectification, d'effacement des données vous concernant et du droit d'obtenir une copie des données personnelles que nous détenons sous un format électronique structuré (droit à la portabilité).

Vous disposez également d'un droit d'opposition pour motif légitime à ce que les données vous concernant fassent l'objet d'un Traitement, et à ce que ces données soient utilisées à des fins de prospection commerciale.

Pour toute question, information supplémentaire ou réclamation, vous devez nous contacter en adressant un courriel à privacy@groupescr.fr. Nous sommes susceptibles de vous demander de nous produire un justificatif d'identité si votre demande concerne l'exercice de l'un des droits qui vous sont conférés par la Règlementation Applicable.

L'exercice de vos droits (notamment vos droits d'opposition ou suppression des Données) devra par ailleurs être concilié avec les obligations légales ainsi que les intérêts légitimes poursuivis par le Groupe SCR.

Nous répondons à vos demandes dans un délai d'un (1) mois à compter de leur réception, étant entendu que ce délai peut être prorogé de deux (2) mois selon la complexité de votre demande ou en cas d'afflux de demandes en parallèle, sous réserve que nous vous en informions.

En l'absence de réponse de notre part dans un délai maximum de trois (3) mois à compter de votre demande initiale ou en cas de litige sur l'exercice de vos droits, vous avez la faculté d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés.

1.6 Respect des règles relatives au transfert de Données personnelles

Le Groupe SCR n'effectue aucun transfert de Données personnelles vers des pays n'assurant pas un niveau de protection adéquat sans mettre préalablement en oeuvre l'une ou l'autre des garanties appropriées prévues par la Réglementation Applicable pour encadrer ledit transfert, notamment en ayant recours à des clauses contractuelles type approuvées par la Commission européenne.

2. Traitements opérés par le Groupe SCR pour le compte de ses Clients

Dans le cadre des Services, le Groupe SCR se voit confier par ses Clients l'accès à et/ou le Traitement de Données personnelles. La manière dont ces Traitements de Données sont contractuellement encadrés sont définies au présent § 2 de la Politique de Confidentialité, qui viennent compléter les stipulations le cas échéant convenues entre les Parties sur ce sujet précis ou suppléer l'absence de stipulation sur le sujet au contrat.

2.1 Conformité à la Réglementation Applicable

Le Groupe SCR et ses Clients doivent chacun se conformer aux dispositions de la Réglementation Applicable pour leur périmètre de responsabilité respective. Le Client est « Responsable de Traitement ou « RT » et le Groupe SCR son « Sous-Traitant » ou « ST » » au sens de la Réglementation Applicable. C'est le Client qui détermine les moyens et les finalités des Traitements qu'il réalise et pour lesquels il a sollicité nos Services, tels que, par exemple, l'organisation de mailings promotionnels à l'égard de la clientèle du Client (Personnes Concernées), l'hébergement de sites web ou applications (développées ou non par nos soins), etc.

2.2 Respect des instructions des Clients

Le Groupe SCR n'agira que sur la base d'instructions claires et précises de son Client qui devront préciser notamment les catégories de Données personnelles que nous devons traiter, les opérations de traitement que nous sommes autorisés à réaliser (par défaut, toutes celles qui couvrent la définition de « Traitement »), la durée de conservation des Données selon les catégories de Données que nous sommes amenés à traiter, les mesures de sécurité particulières à mettre en place, selon la nature des données et les risques associés). A défaut d'instruction claire et écrite de la part des Clients, nous ne pourrons en aucun cas voir notre responsabilité engagée du fait de la carence des Clients à donner leurs instructions. Nous n'exploitons pas et n'utilisons pas les Données personnelles confiées par nos Clients pour nos besoins propres ou pour le compte de tiers non expressément autorisés par nos Clients.

2.3 Obligations des Clients

Vous êtes tenus d'informer les Personnes Concernées par les Traitements de leur possibilité d'exercer leurs droits au titre de la Réglementation Applicable auprès de leur représentant désigné pour traiter ces demandes.

Vous devez nous communiquer spontanément et par écrit les coordonnées de votre point de contact « data privacy » ou DPO afin que nous sachions vers qui rediriger d'éventuelles demandes ou notifications en matière de protection des Données personnelles. Ces demandes doivent être adressées, au sein du Groupe SCR, à privacy@groupescr.fr.

Les Clients étant seuls responsables du contenu de leur site web ou de l'application le cas échéant développée, maintenue ou hébergée par le Groupe SCR, il leur appartient de vérifier que les bases de données contenant des Données personnelles sont complètes, exactes et à jour et garantissent le Groupe SCR contre tous recours ou actions de tiers (y compris de la part d'une autorité administrative telle que la CNIL) intentées à l'encontre du Groupe SCR (y inclus la prise en charge de ses frais raisonnable d'avocat pour assurer la défense de ses droits).

De même, si les Clients nous confient l'envoi de mailings de prospection commerciale ou autres opérations promotionnelles, ils doivent en outre s'assurer au préalable qu'ils ont obtenu le consentement exprès des Personnes Concernées dans les cas où la Réglementation Applicable l'oblige et nous garantir contre tous recours ou actions de tiers (y compris de la part d'une autorité administrative telle que la CNIL) intentés à l'encontre du Groupe SCR (y inclus la prise en charge de ses frais raisonnable d'avocat pour assurer la défense de ses droits).

Dans toutes nos communications, nous attirons tout particulièrement votre attention sur le fait que vous devez vous assurer que les échanges de fichiers contenant des Données personnelles sont sécurisés et a minima protégés par un mot de passe. Sauf en cas d'urgence justifiée, toute exception aux mesures de sécurité convenues entre les Clients et le Groupe SCR devra faire l'objet d'une demande écrite, précisant la nature, durée et analyse d'impact sur cette exception.

2.4 Mesures techniques de protection – sécurité

Conformément à la Réglementation Applicable, le Groupe SCR et ses Clients doivent chacun mettre en oeuvre toutes mesures techniques et d'organisation appropriées pour protéger les Données personnelles qu'ils traitent contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisé, notamment dans le cadre de la transmission de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

De notre côté, nous veillons à :
(i) Mettre en oeuvre des mesures de sécurité techniques et organisationnelles globalement conformes à l'état de l'art ainsi qu'aux instructions contractuelles en la matière ;
(ii) aider, dans la mesure du possible, nos Clients à satisfaire à leurs obligations de réponse aux demandes d'exercice des droits des Personnes Concernées ;
(iii) ce que tous les supports de stockage de données contenant des Données personnelles et toutes leurs copies ou reproductions soient soigneusement stockés sans en permettre l'accès à des tiers sauf à nos sous-traitants (ultérieurs) autorisés ; et
(iv) faire signer à nos employés et ses sous-traitants éventuels impliqué(s) dans le traitement des Données personnelles un engagement à préserver le caractère confidentiel des Données personnelles et respecter la Réglementation Applicable.

Nous nous tenons évidemment à la disposition de vos équipes pour vous apporter tout élément d'information complémentaire. Vous devez vous assurer que les mesures de sécurité techniques et organisationnelles que nous mettons en place répondent à vos propres contraintes de sécurité et, à défaut, donner des instructions écrites précises au Groupe SCR sur les mesures de sécurité complémentaires à mettre en oeuvre. A défaut d'instruction particulière, les Clients du Groupe SCR reconnaissent que les mesures de sécurité que nous mettons en place sont suffisantes.

2.5 Coopération et assistance – Audits.

Nous nous efforçons de traiter rapidement et de manière appropriée toutes les demandes raisonnables de nos Clients concernant les Traitements de Données personnelles que nous réalisons pour leur compte. Nous modifions ou supprimons, suivant instructions de nos Clients et aux frais de ce dernier, les Données personnelles d'une Personne Concernée à la suite notamment de l'exercice de son droit d'accès et de rectification ou de suppression, de sorte que les Données personnelles traitées soient exactes et à jour.

Nous fournissons en outre une assistance raisonnable, aux frais du Client, si vous avez besoin de notre aide pour répondre à des demandes de la CNIL, procéder à des évaluations de risques (PIA), à des enquêtes, à des inspections ou à des audits relatifs au traitement des Données personnelles. Nous devons chacun collaborer de manière transparente, et nous communiquer tous éléments d'informations échangés avec l'autorité de contrôle qui concernerait les Services ou un éventuel manquement de notre part à nos obligations respectives, sous peine de déchéance du droit du Client à obtenir une quelconque indemnisation de notre part ultérieurement.

Tout audit de site web ou application mobile conduisant à des tests de vulnérabilité ou de tentative d'intrusion dans un système informatisé de données fera l'objet d'un accord tripartite entre les Clients du Groupe SCR concernés, le Groupe SCR et le tiers chargé de réaliser les tests pour le compte du Client en question, précisant la durée des tests, leur nature, et dégageant le Groupe SCR de toute responsabilité sur les conséquences induites par les tests ordonnés par le Client.

Les audits seront organisés avec un préavis raisonnable d'au moins 30 jours ouvrés, sauf mesure d'urgence (cas avéré ou à forte probabilité de Violation des Données personnelles, auquel cas ce délai peut être réduit d'un commun accord entre les Parties ou sur injonction d'un juge). Le Groupe SCR informera sans délai ses Clients de toute demande à caractère juridique contraignant de divulgation de Données personnelles émanant d'une autorité administrative ou policière, sauf si la loi ou une décision judiciaire ou administrative le lui interdit.

2.6 Notification des Violations de Données personnelles.

Le Groupe SCR et ses Clients doivent se notifier respectivement, tout abus, toute suppression accidentelle ou non autorisée, toute modification, divulgation, ou accès non autorisé, avéré(e) ou présumé(e), y compris, sans s'y limiter, une pénétration dans le réseau ou les ressources informatiques du Groupe SCR, de ses sous-traitants ou de ses Clients dans le but d'obtenir des Données personnelles ou toute autre violation de la Réglementation Applicable (« Violation des Données personnelles »). La notification d'une Violation de Données personnelles sera effectuée au contact désigné dans les plus brefs délais et au plus tard dans les 72h suivant l'événement en question, accompagnée de toute information utile de nature à permettre au Groupe SCR ou à ses Clients, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente.

2.7 Droit à réparation et Responsabilité.

Le Groupe SCR ne pourra être tenu responsable à l'égard de ses Clients que des dommages directs et certains causés par un manquement prouvé à ses obligations en qualité de « Soustraitant » (art. 28 du Règlement), dans la limite des sommes payées par ses Clients au titre des Services concernés au cours des quatre (4) derniers mois précédant le manquement en question (sauf disposition contraire figurant dans le contrat conclu avec le Client et dérogeant expressément à cet article). Cette limitation ne s'applique pas à l'égard des Personnes Concernées qui auraient subi un dommage matériel ou moral certain du fait d'un manquement prouvé du Groupe SCR à ses obligations en qualité de « Sous-traitant ».

2.8 Sous-traitants ultérieurs – Restrictions

Sauf mention contraire figurant dans notre contrat principal, vous nous autorisez à confier le traitement de Données personnelles à des sous-traitants présentant des garanties suffisantes, sous réserve de nous conformer aux restrictions décrites ci-après.

Nos Sous-Traitants éventuels (« sous-traitants ultérieurs » au sens de la Réglementation Applicable) n'accèderont aux Données personnelles que vous nous confiez et ne les utiliseront qu'en conformité avec nos obligations au titre du paragraphe 2 des présentes et du contrat qui nous lie. Ils sont liés au Groupe SCR par des accords écrits les obligeant à offrir un niveau de protection satisfaisant. Le Groupe SCR informe ses Clients de toute intention de modification substantielle relative à l'ajout ou au remplacement de Sous-traitants.

2.9 Transfert de Données personnelles dans des pays tiers.

Le Groupe SCR n'effectue aucun transfert de Données personnelles vers des pays hors UE n'assurant pas un niveau de protection adéquat au sens de la Réglementation Applicable sans l'accord du Client et sans mettre préalablement en oeuvre l'une ou l'autre des garanties appropriées prévues par ladite Réglementation pour encadrer ledit transfert, notamment en ayant recours à des clauses contractuelles type approuvées par la Commission européenne. Les Clients s'engagent à faciliter la mise en oeuvre de ces garanties et autorisent le Groupe SCR à conclure des Clauses contractuelles types en leur nom.

3. Cookies

Le Visiteur peut décider de désactiver les cookies dès son premier accès au Site. A défaut d'opposition, le Visiteur accepte l'installation de cookies et leur usage dans les conditions qui suivent.

3.1 Qu'est-ce qu'un cookie et son utilité ?

Lors de la consultation du Site, des informations relatives à la navigation du terminal du Visiteur (ordinateur, tablette, smartphone, etc.) peuvent être enregistrées dans des fichiers textes appelés "cookies", installés sur le navigateur du Visiteur. Les cookies vont être utilisés pour reconnaître le navigateur du Visiteur pendant la durée de validité du cookie concerné.

Seul l'émetteur du cookie concerné est susceptible de lire ou de modifier les informations qui y sont contenues.

Certains cookies sont indispensables à l'utilisation du Site, d´autres permettent d´optimiser l'utilisation du Site et de personnaliser les contenus affichés. Ainsi, les cookies permettent :
  • De mesurer et d'analyser la fréquentation et l'utilisation du Site, de ses rubriques et Services proposés, permettant au Groupe SCR de réaliser des études et d'améliorer l'intérêt et l'ergonomie du Site ;
  • De mémoriser les préférences d'affichage du navigateur du Visiteur (langue utilisée, paramètres d'affichage, système d'exploitation utilisé, etc.) et d'adapter la présentation du Site lors de ses visites, selon les matériels et logiciels de visualisation ou de lecture que comporte son terminal et qui sont utilisés pour la navigation sur le Site ;
  • De mémoriser les informations relatives, par exemple, à un formulaire rempli par le Visiteur sur le Site ;
  • De mettre en oeuvre des mesures de sécurité.

3.2 Partage de l'utilisation du terminal entre plusieurs Visiteurs

Si le terminal utilisé par le Visiteur est utilisé par plusieurs personnes, et lorsqu'un même terminal dispose de plusieurs logiciels de navigation, le Groupe SCR ne peut pas s'assurer de manière certaine que les fonctionnalités et publicités destinées à ce terminal correspondent bien à l'utilisation du terminal par l'un des Visiteurs et non par un autre. Le partage avec d'autres personnes de l'utilisation de son terminal par le Visiteur et la configuration des paramètres de son navigateur à l'égard des cookies relèvent de son libre choix et de sa responsabilité.

3.3 Gestion et utilisation des cookies

Le Visiteur peut gérer et modifier à tout moment l'utilisation des cookies suivant les possibilités rappelées ci-après. Les paramétrages effectués sont susceptibles de modifier la navigation sur Internet et les conditions d'accès et d'utilisation de certaines fonctionnalités du Site qui nécessitent l'utilisation de cookies. Ainsi, il est possible de gérer les cookies à partir du logiciel de navigation ou de plateformes interprofessionnelles.

Attention : la prise en compte de la désinscription repose sur un cookie. Par conséquent, si tous les cookies sont désactivés ou que le Visiteur change de terminal, le Groupe SCR ne saura plus que cette option a été choisie.
  • Gestion des cookies à partir du logiciel de navigation : le Visiteur peut configurer son logiciel de navigation de manière à ce que des cookies soient enregistrés dans son terminal ou qu'ils soient rejetés, soit systématiquement, soit selon leur émetteur.

    Pour connaître les modalités applicables à la gestion des cookies stockés dans le navigateur, le Groupe SCR invite ses Visiteurs à consulter le menu d'aide de leur navigateur ainsi que la rubrique « Vos traces » du site de la CNIL (Commission Nationale de l'Informatique & des Libertés) (http://www.cnil.fr/vos-libertes/vos-traces/les-cookies/).
  • Gestion en ligne des cookies à partir de plateformes interprofessionnelles : il est également possible de se connecter sur le site Youronlinechoices, proposé par les professionnels(elles) de la publicité digitale regroupés au sein de l'association européenne EDAA (European Digital Advertising Alliance) et géré en France par l'Interactive Advertising Bureau France. Le Visiteur peut ainsi connaître les entreprises inscrites à cette plateforme et qui offrent la possibilité de refuser ou d'accepter les cookies qu'elles utilisent pour adapter, selon les informations qu'elles collectent, les publicités susceptibles d'être affichées sur son navigateur : http://www.youronlinechoices.com/fr/controler-ses-cookies/

    Cette plateforme européenne est partagée par des centaines de professionnels(elles) de la publicité sur Internet et constitue une interface centralisée permettant au Visiteur d'exprimer son refus ou son acceptation des cookies tel que ci-dessus précisé.

    Cette procédure n'empêchera pas l'affichage de publicités sur les sites Internet visités par le Visiteur. Elle ne bloquera que les technologies qui permettent d'adapter des publicités à ses centres d'intérêt.

3.4 Durée de conservation des cookies :

Les informations collectées par ces cookies sont conservées pendant une durée maximum de 13 mois (conformément à la Réglementation Applicable), sauf suppression à partir des paramètres de l'application sur le terminal du Visiteur.