Le site www.budgetic.eu (ci-après dénommé « le Site ») et l’application https://app.budgetic.eu (ci-après dénommée « l’Application ») sont exploités par Budgetic SAS, une société par actions simplifiée immatriculée au Registre du Commerce et des Sociétés de Paris.
La présente Politique de Confidentialité explique quelles Données sont collectées lorsque l’Utilisateur utilise les Services, et comment elles sont traitées.
La présente Politique de Confidentialité peut être modifiée ponctuellement afin d’assurer sa conformité avec la législation applicable.
La version applicable à l’Utilisateur est celle en vigueur sur le Site et sur l’Application à la date d’utilisation des Services.
DÉFINITIONS
Les termes commençant par une majuscule utilisés au singulier ou au pluriel dans le corps de la présente Politique de Confidentialité ont la signification qui leur est donnée dans les Conditions d’Utilisation, ou définie ci-dessous :
Données Personnelles ou Données : désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après « personne concernée ») ; est réputée être une « personne physique identifiable » une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments propres à son identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale ;
Traitement : désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données ou des ensembles de Données Personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;
Responsable de traitement : désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement ;
Sous-traitant : désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des Données Personnelles pour le compte du Responsable de traitement.
TRAITEMENTS DE DONNÉES PERSONNELLES DONT BUDGETIC EST RESPONSABLE DE TRAITEMENT
Budgetic est Responsable du Traitement des Données que l’Utilisateur lui communique lors de l’utilisation des Services.
ARTICLE I. DONNÉES PERSONNELLES TRAITÉES, FINALITÉS DU TRAITEMENT ET DURÉE DE CONSERVATION
Les Données Personnelles sont collectées pour des finalités déterminées, explicites et légitimes.
Budgetic veille à ce que les Données Personnelles soient traitées de manière adéquate, pertinente et limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées :
| Traitement | Catégorie de Données | Finalité | Base légale | Durée de conservation |
| Gestion des demandes via la section contact | Adresse e-mail, nom de l’entreprise | Répondre aux demandes des Utilisateurs | L’intérêt légitime de Budgetic de fournir une réponse aux Utilisateurs | Adresse email, mot de passe, adresse IP, nom, prénom |
| Gestion de la newsletter | Adresse e-mail, nom, prénom | Gestion des abonnements et des envois électroniques | Le consentement de l’Utilisateur recueilli lors de la collecte de son adresse e-mail | 3 ans à compter du dernier contact de l’Utilisateur ou jusqu’au retrait du consentement |
| Gestion des abonnements à l’Application Budgetic | Adresse e-mail, nom, prénom, nom de l’entreprise | Permettre l’accès à l’Espace Personnel de l’Utilisateur | Consentement de l’Utilisateur donné lors de l’inscription en acceptant les CGU et la présente Politique de Confidentialité | 3 ans à compter de la dernière activité de l’Utilisateur |
| Cookies et traceurs | Voir Politique Cookies | Assurer le fonctionnement du site Maintenir la connexion de l’utilisateur Mesurer l’audience |
L’intérêt légitime pour les cookies strictement nécessaires et le consentement pour les autres | Voir Politique Cookies |
ARTICLE II. DESTINATAIRES DES DONNÉES PERSONNELLES
Aucune Donnée Personnelle concernant l’Utilisateur n’est transmise à des tiers, à l’exception des membres du personnel ou partenaires et sous-traitants de Budgetic, exclusivement pour la réalisation des finalités décrites précédemment et dans la limite des informations strictement nécessaires à cet effet.
Les Données Personnelles de l’Utilisateur sont hébergées soit dans les bases de données de Budgetic, soit dans celles de ses prestataires, situées au sein de l’Union européenne.
Les Données Personnelles de l’Utilisateur ne sont pas transférées en dehors de l’Union européenne.
ARTICLE III. DÉLÉGUÉ À LA PROTECTION DES DONNÉES
Le Délégué à la Protection des Données désigné par Budgetic peut être contacté à l’adresse suivante : dpo@budgetic.eu
ARTICLE IV. DROITS DES UTILISATEURS
Conformément à la réglementation relative au Traitement des Données Personnelles, l’Utilisateur dispose des droits suivants :
1. Droit d’accès, de rectification et de suppression
L’Utilisateur peut consulter, mettre à jour, modifier ou demander la suppression de ses Données Personnelles.
Si un Espace Personnel existe, l’Utilisateur peut en demander la suppression.
2. Droit à la portabilité des Données
L’Utilisateur peut demander la portabilité de ses Données Personnelles détenues par Budgetic vers un autre opérateur.
3. Droit à la limitation et à l’opposition
L’Utilisateur peut demander la limitation du Traitement ou s’opposer au Traitement de ses Données Personnelles par Budgetic, sauf si Budgetic démontre l’existence de motifs légitimes et impérieux prévalant sur les intérêts et les droits de l’Utilisateur.
4. Exercice des droits
L’Utilisateur peut, sous réserve de fournir une preuve d’identité valable, exercer ses droits en contactant le Délégué à la Protection des Données de Budgetic à l’adresse suivante : dpo@budgetic.eu.
Pour permettre à Budgetic de répondre à la demande, l’Utilisateur doit fournir : nom, prénom et adresse e-mail utilisée sur le Site ou l’Application.
Budgetic est tenue de répondre à l’Utilisateur dans un délai de 30 jours.
Si l’Utilisateur estime, après avoir contacté Budgetic, que ses droits n’ont pas été respectés, il peut saisir une autorité de contrôle.
L’autorité de contrôle compétente pour les traitements effectués par Budgetic est la Commission Nationale de l’Informatique et des Libertés (CNIL).
TRAITEMENTS POUR LESQUELS BUDGETIC AGIT EN SOUS-TRAITANT
Dans le cadre du fonctionnement de l’application, Budgetic agit en tant que Sous-traitant au sens de la réglementation applicable au Traitement des Données Personnelles, et exclusivement selon les instructions de la Société agissant via l’Utilisateur, laquelle agit en qualité de Responsable de traitement.
ARTICLE I. DESCRIPTION DU TRAITEMENT EFFECTUÉ PAR BUDGETIC
Budgetic est autorisée à traiter pour le compte de la Société les Données Personnelles nécessaires à la fourniture du service suivant : analyse externe du site web et des applications afin d’identifier l’ensemble des vulnérabilités des données technologiques de la Société.
ARTICLE II. DURÉE DU CONTRAT
La présente Politique de Confidentialité prend effet dès son acceptation par l’Utilisateur, ainsi que l’acceptation des Conditions d’Utilisation, et ce pour une durée indéterminée.
ARTICLE III. OBLIGATIONS DE BUDGETIC ENVERS LA SOCIÉTÉ
Budgetic s’engage à :
1. Traiter les Données uniquement pour les finalités décrites à l’article I., à savoir l’identification, l’analyse et la présentation à l’Utilisateur des vulnérabilités des données technologiques de la Société révélées par le scan de vulnérabilité, ainsi que l’ajustement des prix en fonction des vulnérabilités persistantes identifiées.
2. Traiter les Données conformément aux instructions documentées de la Société, telles que décrites dans les Conditions d’Utilisation. Si Budgetic estime qu’une instruction constitue une violation du RGPD ou de toute autre disposition applicable, elle en informe immédiatement la Société. Par ailleurs, si Budgetic est tenue de transférer des Données vers un pays tiers ou une organisation internationale en vertu du droit de l’Union ou du droit d’un État membre, elle doit informer la Société avant le Traitement, sauf si la loi l’interdit pour des motifs importants d’intérêt public.
3. Garantir la confidentialité des Données Personnelles traitées dans le cadre du scan de vulnérabilité.
4. Veiller à ce que les personnes autorisées à traiter les Données Personnelles dans le cadre du présent contrat :
– s’engagent à la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
– reçoivent une formation appropriée à la protection des Données.
5. Prendre en compte les principes de protection des données dès la conception et par défaut pour ses outils, produits, applications ou services.
ARTICLE IV. SOUS-TRAITANCE ULTÉRIEURE
Budgetic est autorisée à faire appel aux entités suivantes pour effectuer certaines activités de Traitement (ci-après « Sous-traitants ultérieurs ») :
• Amazon Web Services : Hébergement des Données Personnelles ;
• Stripe : Services de paiement ;
• Xodo (ex-EverSign) : Services de signature électronique.
Les Sous-traitants ultérieurs doivent respecter les obligations du présent contrat pour le compte de la Société et selon ses instructions. Il incombe à Budgetic de s’assurer qu’ils présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, conformément au RGPD. Si un Sous-traitant ultérieur ne respecte pas ses obligations, Budgetic reste pleinement responsable vis-à-vis de la Société.
ARTICLE V. DROIT À L’INFORMATION DES PERSONNES CONCERNÉES
Il appartient à la Société de fournir l’information aux personnes concernées par les Traitements.
Il appartient à la Société, en sa qualité de Responsable de traitement, de recueillir, le cas échéant, le consentement des personnes concernées en lien avec les finalités du Traitement.
ARTICLE VI. EXERCICE DES DROITS DES PERSONNES CONCERNÉES
Les personnes dont les Données ont été collectées doivent exercer leurs droits directement auprès de la Société, qui, après examen de la recevabilité de la demande, s’engage à y répondre dans les délais réglementaires.
Dans la mesure du possible, Budgetic aide la Société à satisfaire ses obligations en matière de réponse aux demandes d’exercice des droits.
Lorsque les personnes concernées adressent leurs demandes directement à Budgetic, celle-ci doit les transmettre immédiatement par e-mail à l’adresse de contact indiquée dans l’Espace Personnel de l’Utilisateur.
ARTICLE VII. NOTIFICATION DES VIOLATIONS DE DONNÉES PERSONNELLES
Budgetic notifie à la Société toute violation de Données Personnelles dans un délai maximal de 24 heures après en avoir pris connaissance, via l’adresse de contact fournie dans l’Espace Personnel de l’Utilisateur.
Cette notification est accompagnée de toutes informations utiles permettant à la Société, si nécessaire, de notifier l’autorité de contrôle compétente.
Il appartient à la Société d’alerter, si nécessaire, l’autorité de contrôle compétente et/ou les personnes concernées, et de se conformer à ses obligations au titre du RGPD.
ARTICLE VIII. ASSISTANCE DE BUDGETIC DANS LE CADRE DE LA CONFORMITÉ DE LA SOCIÉTÉ
Budgetic assiste la Société dans la réalisation d’analyses d’impact relatives à la protection des données.
Budgetic assiste la Société dans le cadre des consultations préalables auprès de l’autorité de contrôle.
ARTICLE IX. MESURES DE SÉCURITÉ
Budgetic s’engage à mettre en œuvre tous les moyens nécessaires pour assurer la confidentialité et la sécurité des Données, afin d’éviter leur altération, leur suppression ou tout accès par des tiers non autorisés.
Les mesures techniques et organisationnelles mises en place par Budgetic sont les suivantes :
1. Engagement de confidentialité des employés
Dans le cadre du contrat de travail, chaque employé de Budgetic s’engage à respecter les règles et procédures internes, notamment concernant :
• Le secret professionnel ;
• Un comportement professionnel et loyal envers l’entreprise.
2. Sensibilisation et formation à la sécurité des Données Personnelles
Tous les employés de Budgetic affectés au projet sont sensibilisés à la sécurité. Une présentation des objectifs, des rôles individuels, des responsabilités et des procédures de sécurité liées au projet est réalisée.
3. Gestion des accès et autorisations
La sécurité des informations et des accès est assurée par les administrateurs systèmes. Ils créent des accès nominatifs avec mots de passe robustes pour tous les outils utilisés par Budgetic.
La politique de sécurité des mots de passe est conforme aux recommandations de la CNIL.
4. Sécurité des locaux de Budgetic
L’accès aux locaux de Budgetic est réservé aux personnes autorisées.
Les locaux sont protégés par une alarme anti-intrusion.
Les locaux disposent également d’un système de vidéosurveillance. Les enregistrements sont conservés pendant un mois.
5. Attribution et maintenance du matériel informatique
Chaque employé de Budgetic dispose de son propre poste de travail.
Les postes sont protégés par une authentification utilisateur/mot de passe générée par les administrateurs systèmes. Les employés sont sensibilisés aux règles de sécurité lors de la remise de leur matériel. Chaque employé dispose des droits administrateurs nécessaires à l’exécution de ses missions.
Les mots de passe sont des Données Personnelles Confidentielles, doivent être suffisamment robustes et ne doivent pas être divulgués.
Tout ordinateur remis à un employé doit être préalablement formaté, y compris dans le cas d’un renouvellement de matériel, lorsque le système installé ne correspond pas aux standards définis par les administrateurs.
La maintenance du matériel est assurée dans les locaux de Budgetic lorsque cela est possible. En cas d’intervention d’un prestataire externe, celui-ci est accueilli et supervisé dans les locaux.
6. Confidentialité des Données traitées
Budgetic s’engage à :
• Ne pas effectuer de copies des documents ou supports de données confiés, sauf celles nécessaires à l’exécution du service ;
• Ne pas utiliser les documents et informations traités à d’autres fins que celles définies par la Société ;
• Ne pas divulguer ces informations à des personnes tierces, publiques ou privées, pendant toute la durée du service.
ARTICLE X. SORT DES DONNÉES
À la fin de la prestation relative au Traitement des Données, Budgetic s’engage à détruire l’ensemble des Données Personnelles relatives à la Société et à l’Utilisateur, à l’exception de celles dont la conservation est autorisée par la loi, par les intérêts légitimes de Budgetic ou par la Société elle-même.
Une fois les Données détruites, Budgetic doit en attester par écrit.
ARTICLE XI. DÉLÉGUÉ À LA PROTECTION DES DONNÉES
Le Délégué à la Protection des Données de Budgetic peut être contacté à l’adresse suivante : dpo@budgetic.eu
ARTICLE XII. REGISTRE DES ACTIVITÉS DE TRAITEMENT
Budgetic déclare tenir un registre écrit de toutes les activités de Traitement effectuées pour le compte de la Société, comprenant notamment :
• Le nom et les coordonnées de la Société pour le compte de laquelle elle agit, les données d’identification de l’Utilisateur, des sous-traitants ultérieurs et du Délégué à la Protection des Données ;
• Les catégories de Traitements réalisés ;
• Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.
ARTICLE XIII. DOCUMENTATION
Budgetic met à disposition de la Société la documentation nécessaire pour démontrer sa conformité à toutes ses obligations et permettre la réalisation d’audits, y compris d’inspections, par la Société ou un auditeur qu’elle mandate, et contribue activement à ces audits.
ARTICLE XIV. OBLIGATIONS DE LA SOCIÉTÉ ENVERS BUDGETIC
La Société s’engage à :
• Documenter par écrit les instructions relatives au Traitement des Données par Budgetic, notamment en conservant une copie des Conditions d’Utilisation ;
• S’assurer, préalablement et pendant toute la durée du Traitement, que Budgetic respecte les obligations prévues par le RGPD ;
• Superviser le Traitement, notamment en réalisant des audits et inspections chez Budgetic.