Politique de confidentialité des données

ARTICLE 1 – COLLECTE ET TRAITEMENT DES DONNÉES

Lorsque nous créons un accès sur notre logiciel Global Courtage, dans le cadre de l’utilisation ou de l’essai de celui-ci, nous recueillons les renseignements personnels que vous nous fournissez, à savoir votre nom et votre prénom, votre adresse email, votre téléphone, les coordonnées postales et le nom de votre entreprise. Ces informations ne peuvent être accessibles qu’au sein de la société Global Courtage et ne sont pas partagées à des entreprises tierces.
Global Courtage recueille d’autres informations telles que les coordonnées renseignées de l’entreprise, ainsi que les informations relatives aux utilisateurs de nos clients, renseignées notamment dans leur dossier client.

Global Courtage est un logiciel français dont les données sont hébergées et traitées en France. Des cookies sont utilisés notamment pour connaître le type d’appareil électronique et le navigateur afin d’optimiser au mieux l’expérience utilisateur, ainsi que pour la sauvegarde de préférences de l’utilisateur connecté.

Limites supplémentaires relatives à l’utilisation de vos données utilisateur Google :

Global Courtage vous permet de synchroniser vos calendriers et événements de votre compte Google via une application de connexion. Nonobstant toute autre disposition de la présente politique de confidentialité, si vous autorisez l’application à accéder à vos données Google, l’utilisation de ces données par l’application sera soumise à ces restrictions supplémentaires :

  • L’application n’utilisera pas l’accès pour lire, écrire ou modifier vos messages dans Gmail ;
  • L’application n’utilisera l’accès que pour lire les agendas, ainsi que lire et modifier les événements : cette fonctionnalité vous permettra d’afficher et modifier les événements de vos calendriers Google dans Global Courtage ;
  • L’application de connexion n’utilise pas ces données Google pour diffuser des publicités ;
  • L’application ne permettra pas aux humains de lire ces données sauf si vous nous l’autorisez pour certains événements spécifiques, cela est nécessaire à des fins de sécurité telles que l’enquête sur les abus, pour se conformer à la réglementation applicable, ou pour une intervention sur l’application en internet uniquement si les données ont été agrégées et anonymisées ;
  • L’utilisation par l’application des informations reçues et le transfert d’informations par l’application vers toute autre application à partir des API Google respectent les exigences d’utilisation limitées de Google.

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après. Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).

Description du traitement faisant l’objet de la sous-traitance

Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) :

  • Gestion des dossiers clients
  • Facturation des clients et suivi facturation
  • Édition des courriers et factures personnalisées selon chaque professionnel
  • Réalisation de données statistiques pour l ‘activité du professionnel

La nature des opérations réalisées sur les données est la collecte et la conservation des données. La ou les finalité(s) du traitement sont celles indiquées ci-dessus.

Les données à caractère personnel traitées sont :

  • État civil et patrimonial du client, tel que déclaré par lui,
  • Coordonnées du prescripteur le cas échéant,
  • Caractéristiques du prêt recherché,
  • Montant ou mode de détermination de la commission du professionnel,
  • Personne en charge du dossier chez le professionnel,
  • Suivi du dossier (rendez-vous, mails et sms, appels et objets des appels…),
  • Banques consultées,
  • Banque(s) retenue(s) pour le financement,
  • Commission le cas échéant rétrocédée par la ou les banque(s) retenue(s),
  • Identité des Notaires du vendeur et de l’acquéreur.

Les catégories de personnes concernées sont les clients et prospects du Responsable de traitement.

Obligations du sous-traitant vis-à-vis du responsable de traitement

Le sous-traitant s’engage à :

  • Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance
  • Traiter les données conformément aux instructions documentées du responsable de traitement figurant en annexe du présent contrat. Si le sous traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public
  • Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat
  • Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :

    • s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité

    • reçoivent la formation nécessaire en matière de protection des données à caractère personnel

  • Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

  • Sous-traitance

Le sous-traitant est autorisé à faire appel à l’entité VIAEVISTA (ci-après, le « sous traitant ultérieur ») pour mener les activités de traitement suivantes : dysfonctionnement dans l’outil, erreur sur le serveur etc…

En cas de recrutement d’autres sous-traitants ultérieurs, le sous-traitant doit recueillir l’autorisation écrite, préalable et spécifique du responsable de traitement.

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes

quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

Droit d’information des personnes concernées

Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

Exercice des droits des personnes

Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à l’administrateur désigné dans le contrat initial.

Notification des violations de données à caractère personnel

Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et par le moyen suivant: courrier électronique à l’administrateur. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

En cas de violation de données ayant un impact significatif sur la sécurité de celle-ci, le sous traitant notifie directement à la CNIL cette violation.

Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations.

Le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.

Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.

Mesures de sécurité

Le sous-traitant s’engage à mettre en oeuvre les mesures de sécurité suivantes :

  • Le personnel

Les personnels de Global Courtage sont soumis à une clause de confidentialité insérée dans leur contrat de travail. Global Courtage s’engage à ce que les sous-traitants auxquels il est susceptible de faire appel garantissent un niveau de confidentialité équivalent

  • Accès à l’outil

Afin d’assurer la sécurité des données, Global Courtage à pris les mesures suivantes :

  • L’accès internet au logiciel est sécurisé au moyen d’une adresse URL de type « https »
  • Des profils et/ou droits d’accès spécifiques utilisateurs sont définis préalablement et sont propres à chaque courtier
  • Toute suppression d’accès désactivera immédiatement l’accès concerné Il est de la responsabilité du courtier de garder confidentiel ses identifiants d’accès.
  • Accès aux locaux L’accès aux locaux de Global Courtage est strictement réservé à ses personnels habilités, ainsi que ses clients.
  • Stockage des données Les informations et données qui transitent par application sont gérées sur 2 serveurs et sauvegardées sur 2 autres serveurs appartenant à la société OVH. Les serveurs sont situés à ROUBAIX (59) pour ce qui est de la production et GRAVELINES (59) pour les sauvegardes.

Le CRM (intranet) est hébergé par Viaevista sur la plate-forme sécurisée OVH.

La maintenance de l’application est également effectuée par Viaevista. Afin de garantir la sécurité des outils informatiques, tous les serveurs sont installés sous Linux/Debian.

L’administration des serveurs est effectuée grâce à une connexion SFTP via tunnel SSH, limité à une liste restreinte d’adresses IPs. Des mises à jour des serveurs sont effectuées régulièrement (sous la supervision de Viaevista), et les postes d’accès sont sécurisés.

OVH s’engage à respecter la réglementation en vigueur et notamment le règlement Européen sur la Protection des Données Personnelles n°2016/679.

Délégué à la protection des données

Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données : dpo@globalcourtage.com

Registre des catégories d’activités de traitement

Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :

  • Le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données;
  • Les catégories de traitements effectués pour le compte du responsable du traitement;
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
    • La pseudonymisation et le chiffrement des données à caractère personnel;
    • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
    • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
    • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Documentation

Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Obligations du responsable de traitement vis-à-vis du sous- traitant

Le responsable de traitement s’engage à :

  • Fournir au sous-traitant les données visées au II des présentes clauses
  • Documenter par écrit toute instruction concernant le traitement des données par le sous-traitant
  • Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant
  • Superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant

ARTICLE 2 – TRANSFERT DE DONNÉES À DES TIERS

Soumis à la RGPD, nous ne transférerons jamais d’informations personnelles sans votre accord préalable. En aucun cas la société Global Courtage ne vendra vos données, quelles qu’elles soient, à un quelconque tiers.

ARTICLE 3 – CONSENTEMENT

Comment obtenez-vous mon consentement ?

Lorsque vous nous fournissez vos renseignements personnels pour faire un essai, nous contacter, nous présumons que vous consentez à ce que nous recueillons vos renseignements et à ce que nous les utilisons à cette fin uniquement. Si nous vous demandons de nous fournir vos renseignements personnels pour une autre raison, à des fins de marketing par exemple, nous vous demanderons directement votre consentement explicite, ou nous vous donnerons la possibilité de refuser.

Comment puis-je retirer mon consentement ?

Si après nous avoir donné votre consentement, vous changez d’avis et ne consentez plus à ce que nous puissions vous contacter, recueillir vos renseignements ou les divulguer, vous pouvez nous en aviser en nous contactant par email en utilisant le formulaire de contact ou par courrier à :

Global Courtage 25, rue Lepois 54000 NANCY

ou par courriel à dpo@globalcourtage.com.

ARTICLE 4 – DIVULGATION

Nous pouvons divulguer vos renseignements personnels si la loi nous oblige à le faire ou si vous violez nos Conditions Générales de Vente et d’Utilisation.

ARTICLE 5 – SERVICES FOURNIS PAR DES TIERS

De manière générale, les fournisseurs tiers que nous utilisons vont uniquement recueillir, utiliser et divulguer vos renseignements dans la mesure du nécessaire pour pouvoir réaliser les services qu’ils nous fournissent.
Cependant, certains tiers fournisseurs de services, comme les passerelles de comparateurs d’assurance et fournisseurs de signature électronique, possèdent leurs propres politiques de confidentialité quant aux renseignements que nous sommes tenus de leur fournir pour vos transactions d’achat.
En ce qui concerne ces fournisseurs, nous vous recommandons de lire attentivement leurs politiques de confidentialité pour que vous puissiez comprendre la manière dont ils traiteront vos renseignements personnels.
Il ne faut pas oublier que certains fournisseurs peuvent être situés ou avoir des installations situées dans une juridiction différente de la vôtre ou de la nôtre. Donc si vous décidez de poursuivre une transaction qui requiert les services d’un fournisseur tiers, vos renseignements pourraient alors être régis par les lois de la juridiction dans laquelle ce fournisseur se situe ou celles de la juridiction dans laquelle ses installations sont situées.
À titre d’exemple, si vous êtes situé au Canada et que votre transaction est traitée par une passerelle de paiement située aux États-Unis, les renseignements vous appartenant qui ont été utilisés pour conclure la transaction pourraient être divulgués en vertu de la législation des États-Unis, y compris le Patriot Act.
Une fois que vous quittez le site de notre application ou que vous êtes redirigé vers le site web ou l’application d’un tiers, vous n’êtes plus régi par la présente Politique de Confidentialité ni par les Conditions Générales de Vente et d’Utilisation de notre site web.

Liens

Vous pourriez être amené à quitter notre site web en cliquant sur certains liens présents sur notre site. Nous n’assumons aucune responsabilité quant aux pratiques de confidentialité exercées par ces autres sites et vous recommandons de lire attentivement leurs politiques de confidentialité.

ARTICLE 6 – ÂGE DE CONSENTEMENT

En utilisant ce site, vous déclarez que vous avez au moins l’âge de la majorité dans votre État ou province de résidence, et que vous nous avez donné votre consentement pour permettre à toute personne d’âge mineur à votre charge d’utiliser ce site web.

ARTICLE 7 – MODIFICATIONS APPORTÉES À LA PRÉSENTE POLITIQUE DE CONFIDENTIALITÉ

Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment, donc veuillez s’il vous plaît la consulter fréquemment. Les changements et les clarifications prendront effet immédiatement après leur publication sur le site web. Si nous apportons des changements au contenu de cette politique, nous vous aviserons ici qu’elle a été mise à jour, pour que vous sachiez quels renseignements nous recueillons, la manière dont nous les utilisons, et dans quelles circonstances nous les divulguons, s’il y a lieu de le faire.

QUESTIONS ET COORDONNÉES

Si vous souhaitez : accéder à, corriger, modifier ou supprimer toute information personnelle que nous avons à votre sujet, déposer une plainte, ou si vous souhaitez simplement avoir plus d’informations, contactez notre responsable des normes de confidentialité par email en utilisant le formulaire de contact (https://www.globalcourtage.com/contact/), par courrier à Global Courtage, 25 rue Lepois, 54000 NANCY, ou par courriel à dpo@globalcourtage.com .