Sommaire

Text Link

Politique RGPD

1. Préambule

Le Règlement (EU) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après RGPD) fixe le cadre juridique applicable aux traitements de données à caractère personnel.

Le RGPD renforce les droits et les obligations des responsables de traitements, des sous-traitants, des personnes concernées et des destinataires des données.

Dans le cadre de notre activité, nous sommes amenés à traiter des données à caractère personnel.

Pour une bonne compréhension de la présente politique, il est précisé que :

  • le « responsable du traitement » : UPFUND ;
  • le « sous-traitant » : désigne toute personne physique ou morale qui traite des données à caractère personnel pour le compte de UPFUND ;
  • les « personnes concernées » : désigne les clients et/ou les prospects de UPFUND ;
  • les « destinataires » : désigne les personnes physiques ou morales qui reçoivent des données à caractère personnel de la part de UPFUND. Les destinataires des données peuvent donc être aussi bien des salariés de UPFUND que des organismes extérieurs (partenaires, exposants, intervenants, etc.).

Le RGPD, en son article 12, impose que les personnes concernées soient informées de leurs droits de manière concise, transparente, compréhensible et aisément accessible. UPFUND édite notamment la plateforme SaaS Upfund Explorer, accessible via les noms de domaine upfund.fr, upfundpro.com et explorer.upfund.fr.La présente politique de confidentialité s’applique à l’ensemble des traitements de données à caractère personnel réalisés dans le cadre de ces services.

2. Objet

La présente politique a pour objet de satisfaire à l’obligation d’information à laquelle UPFUND est tenue en application du RGPD (article 12) et de formaliser les droits et les obligations des clients et prospects de UPFUND au regard du traitement de leurs données à caractère personnel.

3. Portée

La présente politique s’applique à l’ensemble des traitements de données à caractère personnel relatifs aux clients et/ou prospects. Elle couvre en particulier les traitements effectués lorsque les utilisateurs se connectent à la plateforme Upfund Explorer au moyen de leur compte Google (authentification OAuth 2.0) et, plus largement, l’utilisation des API Google par UPFUND dans ce cadre.

UPFUND met tout en œuvre pour que les données soient traitées dans le cadre d’une gouvernance interne précise.
Cette politique ne porte que sur les traitements dont UPFUND est responsable du traitement et ne vise donc pas les traitements réalisés en dehors des règles de gouvernance fixées par UPFUND (traitement dit « sauvage » ou shadow IT).

Le traitement des données peut être géré directement par UPFUND ou par un sous-traitant spécifiquement désigné.
Cette politique est indépendante de tout autre document applicable dans la relation contractuelle entre UPFUND et ses clients et prospects.

4. Types de données collectées

Données non techniques (selon les cas d’usage)Données techniques (selon les cas d’usage)Identification (nom, prénom…)  Coordonnées (numéro de téléphone, adresse…)  Photo (si autorisation donnée)  Adresse email  Vie personnelle/professionnelle (poste, diplôme, parcours, niveau d’étude…)Données d’identification (IP)  Données de connexion (logs)  Données d’acceptation (clic)  Données de localisation

Données issues des services Google (connexion via Google) Lorsque vous choisissez de vous connecter à Upfund Explorer au moyen de votre compte Google, UPFUND est susceptible de traiter, selon les autorisations que vous accordez :

– votre identifiant unique de compte Google ;
– vos nom et prénom tels qu’enregistrés sur votre compte Google ;
– votre adresse e-mail principale associée au compte Google ;
– le cas échéant, votre photo de profil associée au compte Google ;
– des informations techniques d’authentification (jetons d’accès et de rafraîchissement OAuth, date et heure de connexion, identifiants techniques liés à votre organisation).

5. Origines des données

Les données relatives à nos clients ou prospects sont généralement collectées directement auprès d’eux.
La collecte peut aussi être indirecte :

  • via des entreprises spécialisées ou des partenaires de UPFUND ;
  • via du parrainage (le parrain doit s’assurer qu’il peut communiquer les données concernées).
  • via les services Google lorsque vous choisissez de vous authentifier au moyen de votre compte Google pour accéder à la plateforme Upfund Explorer (Google OAuth 2.0).

6. Finalités et bases légales

UPFUND traite les données pour les finalités suivantes :

  • gestion de la relation client (GRC) ;
  • gestion de la relation prospect (GRP) ;
  • community management ;
  • souscription à des services ;
  • gestion des désinscriptions et désabonnements ;
  • gestion des signalements ;
  • respect des obligations légales de sécurité ;
  • amélioration des services et enquêtes de satisfaction ;
  • analyse comportementale et ciblage.

Ces finalités reposent sur l’intérêt légitime de UPFUND.
Lorsque cela est nécessaire, le consentement est recueilli.

Finalités spécifiques des données issues des services Google

Lorsque vous vous connectez à Upfund Explorer via votre compte Google, les données issues des services Google sont utilisées exclusivement pour :
– vous permettre de créer et de gérer votre compte utilisateur (fonctionnalité de Single Sign-On) ;
– vérifier votre identité et sécuriser l’accès à la plateforme ;
– associer votre compte à votre organisation et gérer vos droits d’accès ;
– assurer la traçabilité et la sécurité des connexions (journalisation des accès, détection d’accès anormaux).
Ces traitements reposent sur l’exécution du contrat qui vous lie à UPFUND (fourniture du service Upfund Explorer) et, le cas échéant, sur l’intérêt légitime d’UPFUND à sécuriser l’accès à ses services.

6 bis. Données provenant des services Google (connexion via Google)

Lorsque vous choisissez de vous connecter à la plateforme Upfund Explorer au moyen de votre compte Google, UPFUND agit en tant que client des API Google et n’accède qu’aux données strictement nécessaires au fonctionnement de cette authentification, telles que décrites aux articles 4, 5 et 6 de la présente politique.

UPFUND n’accède pas au contenu de vos e-mails, fichiers, agendas, documents ou autres données personnelles stockées dans votre compte Google, sauf mention contraire explicite dans la présente politique et accord spécifique de votre part.

Les données issues des services Google sont utilisées uniquement pour les finalités suivantes :
– authentifier les utilisateurs et leur permettre d’accéder à Upfund Explorer ;
– gérer les comptes utilisateurs et leurs droits ;
– assurer la sécurité, la journalisation et la traçabilité des connexions ;
– fournir le support technique et la maintenance liés à l’accès à la plateforme.

Ces données :
– ne sont pas revendues à des tiers ;
– ne sont pas utilisées pour réaliser du profilage ou du ciblage publicitaire fondé sur votre compte Google ;
– ne sont pas utilisées pour entraîner des modèles d’intelligence artificielle ou d’apprentissage automatique à des fins générales.

Les jetons d’accès et de rafraîchissement (tokens OAuth) générés dans le cadre de la connexion via Google sont conservés sous forme chiffrée, séparément des autres données, et uniquement pour la durée nécessaire au maintien de votre session et de votre accès continu à la plateforme. Lorsque vous retirez l’autorisation dans votre compte Google, supprimez votre compte Upfund Explorer ou à l’issue des durées de conservation définies à l’article 8, ces jetons sont supprimés ou rendus définitivement inutilisables.

Les données issues des services Google font l’objet des mêmes garanties que les autres données personnelles traitées par UPFUND : accès limité aux seules personnes habilitées, encadrement contractuel de nos sous-traitants, et mise en œuvre de mesures de sécurité adaptées, telles que décrites aux articles 7, 18 et 19 de la présente politique.

7. Destinataires des données – Habilitation & traçabilité

UPFUND s’assure que les données ne soient accessibles qu’à des destinataires internes ou externes habilités.

Destinataires internesDestinataires externesPersonnel habilité (marketing, commercial, client, administratif, logistique, informatique, contrôle, sous-traitants)Partenaires, sociétés extérieures, auxiliaires de justice, sous-traitants

Les destinataires sont soumis à une obligation de confidentialité.
UPFUND détermine les habilitations et assure la traçabilité des accès.
Les données peuvent aussi être communiquées à toute autorité légalement habilitée. Les données issues des services Google sont soumises aux mêmes règles de confidentialité et de limitation des destinataires que les autres données personnelles traitées par UPFUND.

8. Durée de conservation

TraitementDurée de conservationDonnées clientsDurée contractuelle + 3 ansDonnées utilisateursDurée du service + 1 anCookies13 moisDonnées prospects3 ans après collecte ou dernier contactDonnées techniques1 anDonnées bancairesSupprimées après transaction (ou 13 mois en cas de contestation)Lutte contre le blanchiment5 ans

Les données sont ensuite supprimées ou anonymisées.
La suppression ou l’anonymisation sont irréversibles.
Pour les besoins spécifiques de la connexion via Google, les jetons techniques d’authentification (tokens OAuth) sont conservés pendant la durée strictement nécessaire au maintien de votre accès au service puis supprimés ou rendus définitivement inutilisables, et en tout état de cause au plus tard dans un délai de 90 jours suivant la suppression ou la désactivation de votre compte utilisateur.

9. Droit de confirmation et d’accès

Les clients et prospects peuvent demander à UPFUND la confirmation que des données les concernant sont traitées et en obtenir l’accès.

La demande doit :

  • Émaner de la personne elle-même ;
  • Être accompagnée d’une pièce d’identité ;
  • Être envoyée à 36 rue du Faubourg Saint-Honoré, 75008 Paris ou gdpr@upfundpro.com.

Les copies supplémentaires peuvent être facturées.
Le droit d’accès ne s’applique pas aux données confidentielles ou non communicables légalement.

10. Mise à jour, actualisation et rectification

UPFUND met à jour les données :

  • automatiquement lorsque c’est possible ;
  • sur demande écrite accompagnée d’une preuve d’identité.

11. Droit à l’effacement

Ce droit ne s’applique pas lorsque le traitement répond à une obligation légale.
Sinon, il peut être exercé dans les cas suivants :

  • données non nécessaires ;
  • retrait de consentement ;
  • opposition légitime au traitement ;
  • opposition à la prospection ;
  • traitement illicite.

Ce droit est strictement personnel et soumis à vérification d’identité.

12. Droit à la limitation

Ce droit ne s’applique pas car le traitement opéré par UPFUND est licite et nécessaire à l’exécution du contrat commercial.

13. Droit à la portabilité

UPFUND accepte la portabilité pour les données fournies par les clients ou prospects sur ses services en ligne, lorsque le traitement repose sur leur consentement.
Les données sont alors transmises dans un format structuré et lisible par machine.

14. Décision individuelle automatisée

UPFUND ne procède pas à de décisions automatisées.

15. Droit post-mortem

Les clients et prospects peuvent définir des directives sur la conservation, la suppression ou la communication de leurs données après leur décès.
Demande à adresser à gdpr@upfundpro.com ou à 36 rue du faubourg saint honoré 75008 Paris, accompagnée d’une pièce d’identité.

16. Caractère facultatif ou obligatoire des réponses

Les formulaires précisent les champs obligatoires par un astérisque.
UPFUND indique les conséquences d’une non-réponse.

17. Droit d’usage

UPFUND bénéficie d’un droit d’usage et de traitement des données pour les finalités prévues.
Les données enrichies (analyse, statistiques, etc.) demeurent sa propriété exclusive.

18. Sous-traitance

UPFUND peut faire appel à des sous-traitants, qui doivent respecter les obligations du RGPD.
Des contrats écrits sont signés et des audits peuvent être réalisés pour vérifier leur conformité.

19. Sécurité

UPFUND met en œuvre des mesures techniques et organisationnelles adaptées, telles que :

  • gestion des habilitations ;
  • protocoles et solutions de sécurité.

Dans le cadre de l’utilisation des services Google, UPFUND met en œuvre des protocoles de sécurité conformes aux standards du secteur, incluant notamment le chiffrement des flux et le stockage chiffré des jetons d’authentification OAuth.

20. Violation de données

En cas de violation, UPFUND notifiera la CNIL et informera les personnes concernées si un risque élevé est identifié.

21. Délégué à la protection des données

Délégué à la protection des données (DPO)

Le DPO peut être contacté pour toute question ou incident relatif aux données personnelles.

22. Registre des traitements

UPFUND tient un registre des activités de traitement, conformément à la loi.
Ce registre peut être consulté par l’autorité de contrôle sur demande.

23. Droit de réclamation auprès de la CNIL

Les personnes concernées peuvent déposer une plainte auprès de la CNIL :

CNIL – Service des plaintes
3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
Tél : 01 53 73 22 22
www.cnil.fr

24. Évolution

Cette politique peut être modifiée à tout moment, notamment en cas d’évolution légale ou réglementaire.
Toute nouvelle version sera communiquée aux clients par tout moyen jugé approprié.

25. Pour plus d’informations

Pour toute question, contactez : gdpr@upfundpro.com
Pour plus d’informations générales sur la protection des données : www.cnil.fr



UPFUND — SAS, 36 rue du Faubourg Saint‑Honoré, 75008 Paris — RCS Paris 912 191 491 — Bereme@upfund.fr — Support@upfund.fr.